הסיכון שבשימוש בקוד פתוח בארגון וכיצד תשמרו על עצמכם

זה זול ומשתלם יותר, אבל רק במידה ויודעים להשתמש בו באופן חכם ולפי כללי המשחק. על קוד פתוח בארגון ומה שכדאי להקפיד עליו

Startup Stock Photos

הפוסט נכתב על ידי יורם בכלר, מנכ”ל Manageware ודירקטור DevOps & ALM ב-8300.

קוד פתוח הפך לחלק אינטגרלי מתעשיות התוכנה והאינטרנט. בסיליקון ואלי וגם כאן בסיליקון ואדי המקומי שלנו, הפך השימוש בקוד הפתוח לנפוץ מאוד. קוד פתוח חופשי מאפשר לכל משתמש לשלב ולערוך את הקוד, לשנות אותו ולהתאימו לצרכיו הפרטיים או העסקיים, ולהרכיב באמצעותו את התוכנה או אתר האינטרנט. תנועת הקוד הפתוח החופשי מתבססת על הרעיון השיתופי הלא אופייני לעולם התוכנה המסחרי – והוא להוציא את מגבלת הקניין הרוחני מהארגונים המסחריים על מנת שכל מי שרוצה יוכל להשתמש ולכתוב תוכנה. יש לשים דגש על המילה “שיתופי”, כי מקור הקוד הפתוח בקהילה, שבה החוק הבסיסי הוא: אתה מוזמן בהחלט לקחת, אבל עליך גם לתרום ולהחזיר. בשנים האחרונות נראה שהיסודות של החוק הזה מתערערים ומכניסים את עולם התוכנה, הממוסחר והעצמאי גם יחד, למערבולת של זכויות יוצרים וקניין, תביעות משפטיות ופירצות אבטחת מידע.

אידיאלי לסטארטאפים

כשמדברים על קוד פתוח יש נטייה לחשוב על מערכות ייעודיות וספציפיות מאוד דוגמת מערכת ההפעלה הוותיקה לינוקס או תוכנת הפיתוח הפופולארית JBoss. אבל בפועל, ישנם רכיבי קוד פתוח בכל נושא ועניין, והוא נגיש לכולם. רוב הארגונים, גדולים כקטנים, משתמשים בקוד בפתוח בשלב כזה או אחר בפיתוח שלהם. במקום רכישת קוד מארגון מסחרי גדול ויקר, ארגונים מעדיפים את הקוד הפתוח: הוא באיכות טובה, לעיתים טובה יותר משל המוצרים המסחריים, מה שמצביע שוב על כוחה של קהילה והתאגדותה סביב נושא או עולם תוכן מסוים. המגמה הזו יצרה מהפכה בעולם התוכנה ושינתה לחלוטין את הקצב בו הוא עובד. כל זה, כמובן, בחינם. כעת חשבו על ארגון דל אמצעים, נאמר סטארטאפ בתחילת דרכו, כיום, בניגוד לעבר, הוא מסוגל להוציא מוצר במהירות רבה ובעלויות מינימליות, בזכות העובדה ש-80% מהמוצר בנוי על רכיבי קוד פתוח חינמיים לחלוטין.

אז איפה הבעיה? בדיוק בנקודת המפגש הזו שבין קהילה שיתופית לחברה מסחרית, שיוצרת דילמות משפטיות, אתיות ואבטחתיות. כפי שציינתי בקצרה קודם לכן, כאשר קהילת הקוד הפתוח מוציאה קוד לעולם, היא מצפה שמי שמשתמש, עורך או מוסיף לו מרכיבים ואלמנטים – גם ישתף ויחזיר את תובנותיו והישגיו בחזרה לקהילת ה-Open Source. לכן, רובם של רכיבי הקוד הפתוח מגיעים עם רישיון משפטי סטנדרטי ביותר, שאומר בפשטות שבמידה ובוצע שיפור או שינוי בקוד, חלה חובה להחזיר ולהראות זאת לכל מי שמבקש. מדובר בקונפליקט גדול עבור חברות עסקיות משום שמצד אחד הן רוצות להשתמש בקוד הפתוח כי זה זול, יעיל ומהיר, אך מצד שני הן בוודאי לא מעוניינות לחשוף את הפיתוחים שלהן לגורמים חיצוניים.

יש לזכור כי בגלל הנגישות הגבוהה של הקוד הפתוח, מרחק חיפוש פשוט בגוגל, כל מפתח, גם אלו העובדים בחברות מסחריות, יכול לשלב קוד פתוח במוצרים עליהם הוא עובד – לעיתים אף מבלי שהארגון כלל ידע. הסוגיה הזו יוצרת לא מעט בעיות רישוי שארגונים לא רוצים ולא צריכים להתעסק איתן. נוצר מצב בו הארגונים לא יודעים ממה מורכב המוצר שלהם ואילו רכיבים, פתוחים או לא, הוא כולל, ועל כן, מה הרישיון שיש לו. מעבר לעניין המשפטי והמעבר על זכויות הקניין הרוחני, כמו בכל רכיב תוכנה, גם בקוד פתוח יש אתגרי אבטחה. שימוש בקוד שהארגון לא מודע אליו יכול להוביל לפרצות אבטחה שעלולות להתגלות רק אחרי שהמוצר יצא לשוק. סוגיה נוספת בהקשר זה היא ניפוח כמות הקוד שיש לתחזק, שכן כאמור הקוד מוצע בחינם ונגישותו גבוהה לכל מפתח. עולות לא מעט שאלות, בעיקר ברמה הלוגיסטית: אחסון, תחזוקה וניהול שוטף – כולם עולים לא מעט כסף בטווח הארוך.

דרכי ההתמודדות עם כל אלו משתנה מארגון לארגון. ישנן חברות שאוסרות באופן גורף על מפתחיהן להשתמש בכל סוג של קוד פתוח. עם זאת, לאור הנתונים שהוצגו לעיל, ברור שזה כמעט בלתי אפשרי. נקודת ההנחה הרווחת היא שהקוד הפתוח הוא חלק מחיי כל ארגון העוסק בפיתוח, והשוק כיום מציע דרכים אלטרנטיביות וריאליות יותר להתמודדות עם הבעיה. היעילה שבהן היא סריקה של הקוד עצמו וגם של בינארים, זיהוי Code Prints והשוואתו אל מול דאטה בייס עצום הכולל כמעט את כל רכיבי וסוגי הקוד הפתוח המוכרים ומטא דאטה רב המצורף להם. בסיום הסריקה מופק דו”ח הכולל מידע על כלל הקוד הפתוח במוצרי הארגון, היכן הוא נמצא, באיזה רישיון הוא מופץ, מה דרוש כדי להשתמש בו ואילו בעיות אבטחה עלולות לצוץ בעקבות השימוש בו.

ארגונים או חברות הנמצאים לפני רכישה, שיתוף פעולה גדול או השקה נוצצת חייבים לוודא שהמוצר שלהם “נקי”, למען השקט הנפשי שלהם ועבור ביטחון לקוחותיהם.

הכתבה בחסות Matrix

8300 הינה זרוע עסקית של מטריקס, המספקת פתרונות ושירותים טכנולוגיים ועסקיים לסטרטאפים וחברות טכנולוגיה: ייעוץ וליווי טכנולוגי, שירותי פיתוח ובדיקות תוכנה, פתרונות ושירותי ענן ,DevOps, Analytics וביג דאטה, מובייל, א.מידע ושירותי משאבי אנוש וגיוס. בנוסף 8300 מציעה שירותי ייעוץ וליווי עסקי ע"י מנטורים מובילים מטעם מטריקס, קישור למקבלי החלטות בחברות וארגונים וחיבור לחברות טכנולוגיה בינ"ל מובילות.

כתב אורח

אנחנו מארחים מפעם לפעם כותבים טכנולוגים אורחים, המפרסמים כתבות בתחומי התמחות שלהם. במידה ואתם מעוניינים לפרסם פוסט בשמכם, פנו אלינו באמצעות טופס יצירת קשר באתר.

הגב

11 תגובות על "הסיכון שבשימוש בקוד פתוח בארגון וכיצד תשמרו על עצמכם"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
מבקר
Guest
או שהכותב לא מבין דבר וחצי דבר בקוד פתוח ובארגונים או שהוא מבין ומנסה להפחיד. קוד פתוח הוא הקוד הבטוח ביותר. הוא נבדק על ידי מאות אלפים ואף מיליוני משתמשים ומתעדכן בנושאי אבטחה מהר יותר מאשר כל קוד של חברה מסחרית שלה יש תאריכי שיחרור מוצר קבועים מלבד פיקסים. היכולת של ארגון למצוא פתרון לכל בעיה בגוגל בשל היותו של המוצר בעל שימוש רב היא אדירה הן במשמעות הכספית והן בזמינות לפתרון (תפתח תקלה בחברות מסחריות ותראה כמה זמן לוקח לך לקבל תשובה), ואנשי ה QA של קוד פתוח הם בעצם כלל הקהילה, שזה בהכרח יותר מאנשי ה QA הבודדים… Read more »
אורי
Guest

קוד פתוח לא בהכרח אומר בחינם.

יש הרבה פרויקטים שהם קוד פתוח (Open Source) אך שימוש מסחרי בהם דורש רישיון.

חשוב לשים לב לדקויות.
מהניסיון שלי, ברוב המקרים עדיף לשלם כסף על מוצר טוב ולחסוך זמן פיתוח יקר מאשר להסתמך על קוד פתוח חינמי שלא תמיד תואם את הדרישות

מיכאל
Guest
המשפט היחיד בכתבה שאני מסכים איתו לחלוטין הוא שכל סטארטאפ חייב לבצע סריקה של הקוד שנמצא בארגון שלו ברגע שהוא נהיה שחקן משמעותי בתחומו. לא רק בגלל פירצות טכניות אפשריות אלה גם בגלל פריצות משפטיות, מה גם שבלא מעט עסקאות הפרוצדורה הנ״ל היא כמעט מובנת מאליה לשם השלמת עסקת מכירה. (והרי בסופו של יום, לשם רוב הסטארטאפים מכוונים). אני חייב לאמר שעל אף שיש גם דברי טעם בשאר הכתבה יש פה הפחדה מנופחת ולא מוצדקת, לטעמי האישי מקום העסקתו של הכותב מעודד הפחדה זו ואף מתפרנס ממנה. כבר הרבה מאד זמן שהקהילה הפתוחה מייצרת פתרונות לא פחות טובים מהשחקנים הגדולים… Read more »
אחד שמבין
Guest

מיכאל, כתבת: “אין לי מושג מה הסיבה לכך”. הסיבה היא שהכותב מוכר רשיונות של מוצרי סריקה יקרים ואיטיים. חבל שלא טרח לציין זאת.

ezaton
Guest

למעשה, רוב הרישוי של רכיבי oss הוא כזה שדורש ממך לחשוף אותו רק ללקוחות שמחזיקים (בין אם בתשלום או לא) במוצר שלך, אם אכן יש בו קוד פתוח, ואם הלקוח ביקש. הרבה חברות היום נותנות SaaS ולא מחויבות להציג כלום ללקוחות (כי התוכנה לא אצל הלקוח, אלא ברשת), מה שפותר את הנושא הזה כמעט לחלוטין.

Yoel Feuermann
Guest

“קוד פתוח הוא הקוד הבטוח ביותר. הוא נבדק על ידי מאות אלפים ואף מיליוני משתמשים ומתעדכן בנושאי אבטחה מהר יותר מאשר כל קוד של חברה מסחרית…”.
באמת, אדון “מבקר”?
האם שמעת על Heartbleed של Open SSL? או שפיספסת את זה איכשהו?
כנראה, כי גם “מאות אלפים ואף מליוני משתמשים” גם פיספסו את זה.

מיכאל
Guest

שלום,

רציתי להביו מה המשמעות של המשפט “ארגונים או חברות הנמצאים
לפני רכישה, שיתוף פעולה גדול או השקה נוצצת חייבים לוודא שהמוצר שלהם “נקי””

אין
Guest

חבל שחברות ישראליות כדוגמת Waze ו moovit לא תורמות חזרה לקהילה שבזכותה הם קיימות ומצליחות

יורם בכלר
Guest
תודה על התגובות המעניינות. קוד פתוח הוא הדבר הכי טוב ואולי הכי משתלם שקרה לתעשיית התוכנה. ממש לא חייבים לקנות כלי לסריקה מה גם שיש לא מעט פתרונות חינמיים לעניין. אנחנו ממליצים לעשות דו״ח חד פעמי או תקופתי הכולל בעיקר את הקוד. (הכלים הזולים והחינמיים נותנים רק דוח על הבינארים ששם בדרך כלל אין בעיות/הפתעות גדולות.) האם יש סיכונים ברשיונות קוד פתוח גגלו What’s bad about GPL ? האם באמת זה קורה למישהו גגלו open source violations או FOSS violations. וכדאי לקרוא את סעיף 5 הקצר ברשיון ה GPL שהוא כנראה הרשיון הנפוץ ביותר. יש גם רשיונות אחרים שאין בהם… Read more »
Ira Abramov
Guest

אוי, כמה הפחדות וסלט. יש להשתמש בכלים פתוחים לפיתוח, ויש להשתמש בקוד פתוח בתוך המוצר. יש להשתמש בשרת, ויש לכלול את זה בקוד ששלח למכשירי קצה. יש הבדל בין GPL ובין AGPL. אף אחד גם לא מכריח לתרום חזרה שינויים אם אתה לא מנסה למכור/להפיץ תוצר של קוד שהיה פתוח.

בקיצור טור הפחדה כדי שיתעניינו במוצר שלו. נמוך.

אחת שמבינה :-)
Guest

לפי מה שאני מבינה מוצרי הסריקה היקרים יותר סורקים את כל ה- Source Code ולא רק מחפשים התאמה בשמות הקבצים הבינאריים – אולי זו הסיבה שהסריקה היא איטית יותר.

wpDiscuz

תגיות לכתבה: