T: +34 913 750 391

Escenarios de riesgos que justifican la existencia de un sistema open-compliance

Escenarios de riesgos que justifican la existencia de un sistema open-compliance

Escenarios de riesgos que justifican la existencia de un sistema open-compliance

grid-857865_1920

Comentábamos en el post anterior la importancia que tiene el hecho de que las empresas que emplean código de fuentes abiertas implanten un sistema open compliance que garantice la legalidad del producto final y su comercialización con totales garantías, tanto para la empresa desarrolladora como para los adquirentes de ese producto.

Existen riesgos, que asumen las empresas, derivados del incumplimiento de los términos de las licencias de código abierto. Y la mayoría de las veces, ni siquiera las empresas son conscientes de ese incumplimiento hasta que surge el problema. El peor de los escenarios es incluso que no sepan que puede haber un problema, al fin y al cabo, “es software libre, ¿no?. Lo puedo usar para lo que quiera”.  ¿A alguien le suena esta afirmación?

Hagamos el ejercicio de poner hipótesis de escenarios, no sea que yo esté exagerando con esto del compliance que, al fin y al cabo, “es software libre. ¿no? ¿Por qué tanto lío?”

Escenario nº 1: Si es libre hago con el software lo que yo quiera.

Mi empresa participa en un proyecto para un cliente final.  Se trata de un proyecto original. El código se está picando de cero para el cliente que ha pedido unos requisitos específicos. El proyecto está en pleno desarrollo y:

- Anda mira, ya existe un módulo que hace esta funcionalidad y está liberado. Perfecto. Para qué vas a picar algo de cero si ya existe y alguien ha tenido la amabilidad de compartirlo. Lo voy a usar.

- Anda mira, y esto también me sirve. Qué potra tengo.

Perfecto, el proyecto está terminado en plazo. Incluso un par de semanas antes porque no contaba yo con evitarme picar de cero algunas funcionalidades.

Terminamos el proyecto, puesta en producción y coordinación con los técnicos en cliente que nos dicen:

- Oye, por cierto, que aún no hemos firmado el contrato de este proyecto. Vamos a formalizar esto que me lo piden desde legal y luego me están dando por saco todo el rato si no firmamos nada. Te paso el contrato para que lo reviséis y me lo firméis.

Le pasas el contrato a tu departamento legal para que le dé el visto bueno. Y el departamento legal dice:

- Oye hay una cláusula aquí que dice que garantizamos que todos los derechos de propiedad intelectual son cedidos al cliente en exclusividad y que tenemos esos derechos para poder cederlos sin problemas, ¿todo el código es nuestro verdad?

- Sí. Bueno, no. He reutilizado código pero es software libre.

- Ok. Pero ¿qué decían las licencias?

- No sé, no me fijé en la licencia, pero da igual es software libre.

- Bueno, no da igual. ¿Es compatible con la utilización del proyecto que va a hacer el cliente?

- Esto…..

¿Parece exagerado? No lo es. En el escenario n´º 1 que estamos planteando se juega a un peligroso juego basado en un sesgo cognitivo llamado “anda el código ya existe, está liberado y me lo quedo” y si no lo describió Daniel Kahneman es porque me lo acabo de inventar. Pero ya sabes de qué hablo….

Es ese concepto del “todo lo que hay en internet es gratis y utilizable de la manera que yo quiera y si es software libre no pasa nada porque para eso está” que puede poner en peligro, no sólo a nuestra empresa, sino también a nuestro cliente y los compromisos que hemos adquirido con ese cliente y, a su vez, el cliente con terceros y que puede llevar a una cadena de responsabilidades complicada.

El peligro de este escenario es que los desarrolladores desconocen hasta la propia existencia de  licencias sobre el código que se encuentran en repositorios públicos. Y mucho menos conocen que puedan existir incompatibilidades entre esas licencias. Y ojo, a veces el código que está en esos repositorios públicos no tiene licencia. Eso no lo convierte en open source. Todo lo contrario.

Escenario nº2: No hay tiempo para mirar las licencias 

Mi empresa está acostumbrada a trabajar con código abierto. Llevamos años haciendo esto. Sabemos que hay licencias compatibles e incompatibles. Eso sí, somos muchos programadores metidos en este proyecto y no tenemos un control de lo que estamo picando y lo que estamos reutilizando. El proyecto está creciendo de manera desorganizada. Ya ha llegado un momento en que no estamos controlando si las licencias que estamos utilizando son compatibles. Y no ya entre sí, incluso para el uso del resultado final del proyecto.

Además vamos contrarreloj y las cabeceras de las licencias son un cachondeo. Hemos perdido la trazabilidad sobre la atribución de licencia y la mitad de las veces se nos está olvidando mencionar a los autores. A alguien le va a tocar ponerse a ordenar licencias cuando esto esté terminado. Vamos a tardar más en en eso que en el desarrollo del proyecto.

¿Le suena a alguien este escenario? Porque tampoco estoy exagerando. Muchas veces es a mí, a la abogado,  a quien le toca ordenar las licencias cuando la “criatura” está terminada. Eso en el mejor de los casos en que sólo se trate de inventariar de licencias. En el peor de los casos, se descubren incompatibilidades con esas licencias que es necesario subsanar para no incumplir el contrato con nuestro cliente final.

Ante estos dos escenarios que he puesto de ejemplo se tangibilizan los riesgos existentes para las empresas en el uso de código de fuentes abiertas y que, en la práctica, son riesgos ante los que se pueden poner medidas preventivas derivados de la implantación de un sistema open compliance.

Seguimos profundizando en el tema en el siguiente post.

Elena Pérez Gómez, de Cohaerentis Consultores

glyphicons_120_message_full   glyphicons_330_blog   glyphicons_social_31_twitter   glyphicons_social_17_linked_in   glyphicons_050_link

Elena Pérez

Directora del área legal de cohaerentis.

Abogada especializada en Tecnologías de la Información. El día 1 de junio impartirá un taller sobre open-compliance en OpenExpo 2017. Si estas interesado en asistir y quieres una entrada gratuita ponte en contacto con nosotros.

No se permite realizar comentarios.

  • Ray Ban 2014 Sunglasses
  • New Balance 996
  • Air jordan 11 low