Avoimen lähdekoodin käyttö organisaatioissa on lisääntynyt jopa räjähdysmäisesti. Erityisesti java-teknologioissa valmiita, hyödynnettäviä kirjastoja ja niiden osia on hyvin paljon. Yksittäisessä projektissa voi tulla käyttöön satoja, jopa tuhansia paketteja. Osa paketeista valitaan nimenomaisesti käyttöön ja osa tulee ns. riippuvuuksina eli paketteina, joita valitut paketit tarvitsevat toimiakseen.
Avoimen koodin compliancella tarkoitetaan niitä menettelytapoja ja prosesseja, joilla organisaatio varmistaa sen, että se noudattaa käyttämänsä avoimen koodin ehtoja. Lisäksi compliance-prosessiin liittyy tyypillisesti se, että varmistetaan organisaatiossa sovittujen menettelytapojen sekä muutoinkin parhaiden toimintatapojen noudattaminen.
Lisenssien ehtojen noudattamisen varmistaminen on jo sellaisenaan haastavaa, koska erilaisia avoimen koodin ohjelmistoja on paljon ja ne tyypillisesti muodostuvat monista osista. Lisäksi käyttötapoja on useita ja toteutuksen arkkitehtuuri voi vaihdella sekä varsinaisia lisenssejä ja niidenkin käyttötapoja on erilaisia. Yhdessä avoimen koodin paketissa voi olla kymmeniä, jopa satoja erilailla lisensoituja osia. Samaa pakettia voidaan käyttää sisäisesti, asiakastoimituksessa yhdelle asiakkaalle, tai maailmanlaajuiseen jakeluun menevässä laitteessa. Ohjelmiston arkkitehtuuriratkaisuja voi tehdä monella tavalla.
Miksi avoimen koodin ehtoja tulisi noudattaa?
Syitä on ainakin kolme: maine, asiakkaat ja juridisten riskien hallinta.
Maine
Organisaatioiden tulee noudattaa lakia ja kunnioittaa avoimen koodin tekijöiden oikeuksia. Lisenssiehtojen noudattaminen on oikein. Mikäli organisaatio ei toimisi oikein, syntyy tästä negatiivista mielikuvaa organisaation omille työntekijöille ja sidosryhmien työntekijöille. Negatiivinen mielikuva kasvattaa muita riskejä.
”Avoimen koodin yhteyshenkilö” ”Open Source Officer”
Minun arvioni mukaan tärkein yksittäinen riskienhallintatoimenpide on avoimen koodin yhteyshenkilön nimittäminen ja siitä viestiminen. Viestiminen pitää tehdä omassa organisaatiossa ja ulospäin. Tiedossa on tapauksia, joissa avoimen koodin oikeudenhaltija on pyrkinyt tavoittamaan yritystä, mutta ei ole saanut useista yhteydenotoista ja kirjeistä huolimatta yhteyttä yritykseen. Tavanomaiset yhteyspisteet, esimerkiksi asiakaspalvelu eivät ymmärrä, mistä asiassa on kysymys.
Asiakkaat
Yritysten asiakkaat (tai organisaatioiden sidosryhmät) edellyttävät usein yritykseltä oman tarjoamansa tuntemista ja asettavat esimerkiksi sopimuksissa edellytyksiä käytetyille kolmansien ohjelmistoille. Näihin liittyen on tärkeätä tietää, mitä avointa koodia käytetään missäkin.
Juridisten riskien hallinta
Monesti ensimmäisenä nostetaan esille juridiset riskit, jotka liittyisivät ehtojen noudattamatta jättämiseen. Juridisia riskejä toki on, mutta todettakoon, että lisenssien tarttuminen itsekseen organisaation omaan koodiin on myytti, eikä perustu juridiikkaan. Muutoinkin käytännössä suomalainen oikein toimimaan pyrkivä organisaatio ei juridisiin riskeihin juuri törmää. Ehtojen noudattamatta jättämisestä voi kuitenkin aiheutua selvittelytyötä, kustannuksia, hyvitysvelvollisuutta, tuotteiden muuttamisvelvollisuuksia, jopa tuotteiden tuhoamisvelvollisuuksia sekä loukkaajille rikosoikeudellisia rangaistuksia.
Käytännössä esimerkiksi Free Software Foundation Europe neuvoo avoimen koodin kehittäjiä olemaan ensi sijassa suoraan yhteydessä yrityksiin/käyttäjiin, mikäli kehittäjä havaitsisi tekemänsä paketin lisenssiehtoja loukatun. Suurin riski syntyy siitä, jos tällaisessa tilanteessa ei löydy oikeaa kontaktia organisaatiosta: tyypillisesti asiakaspalvelu ei ymmärrä, mistä tällaisessa yhteydenotossa on kysymys.
Validos ry
Validos ry auttaa organisaatioita täyttämään avoimen koodin ehdot sekä voi myös tukea prosessien rakentamisessa. Mindtrek 2016 konferenssissa pidämme workshopin avoimen lähdekoodin compliancesta. Tuolloin kerromme tarkemmin politiikkojen ja prosessien rakentamisesta sekä compliance:n yksityiskohdista. Tervetuloa!
Teksti:
Martin von Willebrand
HH Partners
+358 40 770 1818
martin.vonwillebrand(a)hhpartners.fi
www.twitter.com/mvonwi
www.hhpartners.fi
Validos ry, Chairman, www.validos.org