משתמשים בתוכנות קוד פתוח? הנה מה שאתם חייבים לדעת

שימוש בתוכנות מבוססות קוד פתוח עשוי להתגלות כמשתלם לסטארטאפים, אלא ששימוש לא נכון יחשוף אותם לבעיות אבטחה או תביעות משפטיות בהמשך הדרך. כך תתנהלו נכון.

open source via shutterstock

הפוסט נכתב ע"י ד"ר רון רימון, מייסד ויו"ר חברת White Source.

חברות רבות עושות שימוש בתוכנות קוד פתוח בשלבים שונים של פיתוח המוצר. עפ"י חברת המחקר גרטנר, כ-85% מפרויקטי התוכנה משתמשים בספריות קוד פתוח, במילים אחרות כמעט ואי אפשר לפתח היום מוצרים מבלי להשתמש בקוד פתוח, וההערכה היא כי 80% משורות הקוד במוצרים מסחריים הם למעשה חלקים מספריות קוד פתוח.

לפי ארגון הקוד הפתוח (Open Source Initiative), תוכנת קוד פתוח היא תוכנה אשר קוד המקור שלה מופץ בצורה פתוחה ונגישה לכלל קהילת המפתחים, כאשר ניתן לערוך וליצור גרסאות חדשות שלו, והכול ללא תשלום דמי רישיון. אולם כאשר ניגשים לעבודה עם תוכנות אלו יש לשים לב למספר נקודות חשובות שימנעו מהחברה לבזבז זמן יקר, להיות חשופה לבעיות אבטחה או תביעות משפטיות בהמשך הדרך.

ניהול רישיונות שימוש

אי קיום הדרישות של רישיונות השימוש של כל אחת מהספריות יכולה לגרום לסיכונים מיותרים, כך לדוגמא בצד המשפטי שימוש ב-GPL עלול לפגוע בזכויות היוצרים שלך, ורישיונות אחרים עשויים להשפיע על האפשרות להגשת פטנט. בצד העסקי, שימוש לא זהיר יכול לגרור תביעות והפעלת צו מניעה נגדך או נגד לקוחותיך. כך לדוגמא אפל "זרקה" אפליקציה פופולארית כ-VLC Player מהאפסטור.

הנושא תופס מקום מרכזי במהלך מיזוגים ורכישות, וידוע על לא מעט מקרים שבהם הרוכש נסוג לאחר שבדיקת נאותות גילתה שימוש לא תקין. גם בהסכמים מסחריים משמעותיים אחרים, בפרט OEM, נהוג לדרוש רשימת ספריות קוד פתוח שבשימוש, והצהרת שימוש נכון כולל הסכמה לשיפוי במקרה הצורך. נקודה נוספת שלא כולם מודעים אליה היא שלעתים קרובות (ב64% מהמקרים) ספריות קוד פתוח מכילות ספריות קוד פתוח אחרות שרישיון השימוש שלהן שונה – לכן יש לתעד את כל הספריות הנ"ל ורישיונותיהן.

טיפול בפרצות אבטחה ובעיות איכות

קוד פתוח הוא קוד, ולכן סובל לעתים מאותם הפגמים של קוד אחר. עפ"י סקר של חברת Coverity, יש לצפות לפגם אחד בממוצע בכל 1,000 שורות קוד (גם פתוח וגם לא). ועפ"י סקר של חברת Veracode, כ-70% מיישומי התוכנה שנבדקו הכילו בעיות אבטחה ברמות שונות. כמובן שבעיות אבטחה ופגמים שמתגלים בקוד פתוח משפיעים על כל מוצר שמכיל אותם ויש לעקוב אחריהם ולתקנם בהקדם האפשרי. ואכן, קהיליות קוד פתוח נוטות לתקן פגמים במהירות יחסית, אך דווקא המשתמשים בספריות לעתים מתמהמהים ובכך חושפים את לקוחותיהם לאותם פגמים באופן שאינו מחויב המציאות. עפ"י נתוני White Source כ-85% מפרויקטי התוכנה מכילים ספריות קוד פתוח שלא עודכנו. ככלל, מרבית מפתחי התוכנה בודקים את הקוד שכתבו בקפדנות, אך אינם עושים זאת עבור קוד פתוח שמוטמע במוצריהם.

ניהול נכון

במרבית החברות כיום מנהלים את השימוש בקוד פתוח באופן ידני ובלתי יעיל, התנהלות אשר יוצרת שתי בעיות מרכזיות: בזבוז זמן יקר על מחקר עובדות טריוויאליות, ובמקביל, בצורת עבודה זו בד"כ מפספסים דברים חשובים כמו למשל מידע על ספריות תלויות. לחילופין, בחברות בהן משתמשים בסורקים אוטומטיים, מבזבזים זמן רב על בדיקת חשדות מדומים. לעתים קרובות מוצאים הסורקים אלפי קטעי קוד הדומים במידה מסוימת לקטעי קוד פתוח כלשהו, ואז מוטלת האחריות על המפתח לוודא שאין המדובר בהעתקה. בשני המקרים, מעטות החברות שבהן משתמשים בכלים באופן רציף ומשולב לאורך תהליך הפיתוח, ובכך מעמיסים על המפתחים בנקודת שחרור הגרסה. עוד נקודה שיש לשים אליה לב היא שכאשר עורכים בדיקה באופן חד פעמי (למשל בשחרור גרסה), או אחת לתקופה, קורה שמגלים ספריה שיש להחליפה (למשל כי הרישיון בעייתי) ואז יורד לטמיון כל המאמץ שהושקע באינטגרציה, ויתכן שנגרם עיכוב בתהליך הפיתוח ושחרור התוכנה.

אוטומציה

מפתחים רוצים לעסוק בפיתוח. החלק היחיד בניהול הקוד הפתוח שבו הם רוצים ויכולים לתרום הוא בבחירת הספריות המתאימות, ושילובן. לכן, רצוי שתהליכי זיהוי ובדיקת הרישיונות יהיו אוטומטיים ככל האפשר. כדי לאפשר זאת, המדיניות הארגונית בקשר לרישיונות צריכה להידון ולהיקבע ע"י מנהלים ומשפטנים באופן נפרד, ואז להכפות אוטומטית ע"י כלים המחוברים לכלי הפיתוח השונים. כמובן שיש גם לעקוב, אוטומטית כמובן, אחר פרצות אבטחה, ופגמים אחרים, שמתגלים בקוד פתוח שבו אנו משתמשים, ובעת האפשר לעדכן גרסאות שמתקנות אותם.

כותב הפוסט צפוי להשתתף ולדבר בועידת הקניין הרוחני על חוקיות וזכויות השימוש בתוכנות קוד פתוח.

קרדיט תמונה: open source via shutterstock.

הכתבה בחסות ועידת הקניין הרוחני של ישראל

לראשונה יתקיים בישראל כנס רחב היקף, אשר בא לבחון את עולם הקניין הרוחני מהיבטים שונים ובכלל זה יציג ויבחן את החידושים, התמורות והתחומים הנלווים כגון: סימני מסחר ומותגים, זכויות יוצרים, עיצובים (מדגמים), זכויות יוצרים, כאשר הנושא המרכזי שילווה את הדיונים הוא הפיכת הקניין הרוחני (IP) לשורת רווח (NP).
הועידה תתקיים בימים ראשון, שני 10-11 בנובמבר 2013, במרכז הכנסים דן פנורמה, תל-אביב, בהשתתפות מעל 80 מרצים מובילים בתחומם מארה"ב, אירופה, אסיה וישראל, ביניהם: פרופסור יוחאי בנקלר מבית הספר למשפטים באונ' הרווארד הנחשב לגורו-על בתחום האינטרנט בארה"ב (לאחרונה אף העיד לטובתו של בראדלי מאנינג, המדליף בפרשת ויקיליקס), מרשל פלפס - לשעבר סגן נשיא מיקרוסופט בתחום הקניין הרוחני וכיום יועץ לחברות ענק כגון בואינג, סמסונג, SAP ועוד. הכנס יציג ויבחן את החידושים, התמורות והתחומים הנלווים כגון: סימני מסחר ומותגים, זכויות יוצרים, עיצובים (מדגמים), זכויות יוצרים, כאשר הנושא המרכזי שילווה את הדיונים הוא הפיכת הקניין הרוחני (IP) לשורת רווח (NP).

כתב אורח

אנחנו מארחים מפעם לפעם כותבים טכנולוגים אורחים, המפרסמים כתבות בתחומי התמחות שלהם. במידה ואתם מעוניינים לפרסם פוסט בשמכם, פנו אלינו באמצעות טופס יצירת קשר באתר.

הגב

2 תגובות על "משתמשים בתוכנות קוד פתוח? הנה מה שאתם חייבים לדעת"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
אופיר
Guest

שכחו לציין ש 83% מהסטטיסטיקות הומצאו ע"י הכותב.

נראה כמו אוסף של סטטיסטיקות מומצאות שנועדו למכור שירות ניהול רשיונות.

רון
Guest

הסטטיסטיקות מבוססות על תרגום כושל של מאמרים מלפני שנה וחצי, כמובן של אנשים אחרים.
זה כמו לומאר כי מחקרים מראים שרוב הבאגים נובעים מקידוד ולן כדאי להמנע מכתיבת קוד

wpDiscuz

תגיות לכתבה: