"Zakelijk gebruik GPL open souce software is strafbaar"
Volgens het Amerikaanse bedrijf Wasabi Systems is het gebruik van open source software die onder de GNU General Public License beschikbaar is, strafbaar voor bedrijven. De Sarbanes-Oxley wetgeving eist namelijk dat bedrijven kunnen aantonen wie de eigenaar van het intellectueel eigendom is, waardoor de ontwikkeling en verspreiding van GPL code in strijd met Sarbanes-Oxley zou zijn.
Als bedrijven hun intellectueel eigendom als een asset opgeven, iets wat alle software ontwikkelaars doen, dan moet de bedrijfstop ervoor zorgen dat er procedures aanwezig zijn die bewijzen dat het bedrijf inderdaad de eigenaar van deze assets is. Dit bestaat uit routine procedures zoals het beschermen van intellectueel eigendom. Als je zegt dat je van iets de eigenaar bent, dan moet je ook de controle processen kunnen documenteren. Met open source software is dat een stuk lastiger, aldus Wasabi.
Bedrijven die open source op hun servers draaien, zolang deze software op een "compliant" manier is ontwikkeld, lopen geen risico. Maken bedrijven echter aanpassingen zonder dit te melden, dan houdt men zich niet aan de wet, met zware straffen als gevolg.
Het Software Freedom Law Center heeft nu een whitepaper gepubliceerd om mogelijke paniek die door de "Wasabi FUD" is ontstaan weg te nemen. "Het idee dat een GPL overtreding tot gevangenisstraf kan leiden is onredelijk" aldus een advocaat van het centrum. In de meeste gevallen zijn aanpassingen en het gebruik van GPL code niet strafbaar. Het whitepaper is ook interessant voor alle GPL gebruikers, van open-source software ontwikkelaars tot CIOs die bij Fortune 500 bedrijven werken. (eWeek)
geen enkele leverancier met recht en overtuigd claimen dat ze het
intellectueel eigendom hebben.
Dus eenieder die gebruik maakt van ideeën die van derden afkomstig zijn,
maar ook ideeën die jezelf mogelijk hebt, maar die je te nimmer hebt
getoets aan patenten database is strafbaar bezig.
de verantwoordelijke, NIET de gebruikende SOx klant.
Waarschijnlijk is het SCO fakkeltje aan het doven...
AS
openlijk gebruik van OSS in zakelijke toepassingen wordt
aangepakt. Het kunnen aantonen intellectueel eigendom is
alleen van belang voor partijen die het eigendom betwisten
en de zakelijke markt zogenaamd tegen zichzelf te beschermen.
te stellen.
opensource?
Immers als een organisatie opensource gebruikt en op eens de
ontwikkelaar commerciële aspiraties krijgt, dan kun je alleen nog maar
kiezen uit een commercieel product, wellicht van een organisatie die je
altijd al buiten had willen houden (zoals checkpoint).
Ik denk dat het vercommercialiseren van opensource (onder GPL maar
ook BSD licence) software de ondergang voor Opensource en GPL gaat
betekenen, immers SSH, Mysql, Nessus, snort zijn door jaren evolutie op
huidige niveau uitgekomen, en binnen een paar jaar (begon met SSH al
een tijdje geleden) zijn licenties veranderd en in sommige gevallen closed
source geworden. Het zal de gemeenschap jaren kosten om een product
te ontwikkelen op gelijkwaardig niveau.
Word het niet tijd om een artikel te schrijven over het
gevaar van
opensource?
Immers als een organisatie opensource gebruikt en op eens de
ontwikkelaar commerciële aspiraties krijgt, dan kun je
alleen nog maar kiezen uit een commercieel product, wellicht
van een organisatie die je altijd al buiten had willen
houden (zoals checkpoint).
Ik denk dat het vercommercialiseren van opensource (onder
GPL maar ook BSD licence) software de ondergang voor
Opensource en GPL gaat betekenen, immers SSH, Mysql, Nessus,
snort zijn door jaren evolutie op huidige niveau uitgekomen,
en binnen een paar jaar (begon met SSH al een tijdje
geleden) zijn licenties veranderd en in sommige gevallen
closed source geworden. Het zal de gemeenschap jaren kosten
om een product te ontwikkelen op gelijkwaardig niveau.
Misbruik word gestraft.......... veel OSS projecten hebben
problemen met inkomsten voor de ontwikkeling van OSS doordat
organisatie's misbruik maken van het GPL of het GPL met
veelvuldig overtreden.
Ik denk dat Linus Torvalds de wijzigingen in het GPL met dit
'probleem' in het achterhoofd heeft doorgevoerd.
COBIT framework. Ook binnen COBIT ben ik de discussie over open
source nog niet tegengekomen.
wat betreft het artikel (vertaling security.nl): als je geen eigenaar bent, kun
je de software dus niet op de balans zetten, dus hoef je ook niet zorgen te
maken over wie de eigenaar is.
De bron heeft het over iets anders: de schadeclaims die je kan verwachten
als je de GNU licentie voorwaarden doorbreekt. De stelling alhier dat je
niet meer SOX compliant bent als je GNU hebt overtreden klopt niet
helemaal. Voor dit soort overtredingen geldt hetzelfde als voor andere te
verwachten claims, je moet de te verwachten claim behandelen volgens
de FAS5 (regels voor waardering van mogelijke claims) en hiervoor een
SOX control hebben gedocumenteerd. Dit heeft weinig specifieks voor
GNU, maar heeft meer te maken met de waardering van alle mogelijke
claims en een juiste disclosure daarvan.
Mijn conclusie: je bent alleen strafbaar als je een significante GNU claim
bewust (wist of had moeten weten) niet opneemt in de jaarrekening.
(Significantie in de jaarrekening is doorgaans 5% van een balanstotaal.)
Pas als men het verwerkt in een product die men extern aanbied zal
men elke afnemer de optie moeten geven om de broncode te verkrijgen en
kan men anderen niet beperken in hun recht om het vervolgens ook aan te bieden.
Ondanks het bovenstaande gaat mijn voorkeur toch uit naar de BSD-style
licenties. De waarde van GPL (copyleft) valt of staat bij de uitvoerbaarheid
en de realiteit is dat de meeste programmeurs niet de middelen (geld, tijd,
energie) hebben om overtreders aan te pakken. Daarom laat ik het liever
over aan de marktwerking van normen en waarden in de samenleving. Ik
verwacht dat open source (bsd-style, aka copycenter) met de tijd de norm zal
worden.
Een bedrijf volgends de wet zich moet conformeren aan SOX;
De software assets tot de scope van de SOX compliance behoren;
Het bedrijf zich niet aan de GPL houdt;
Dit aantoonbaar met opzet doet;
Het voor de Amerikaanse wetgeving een strafbaar feit kan zijn.
Hoewel dit al significant minder interessant is dat
security.nl (pine) laat geloven is de werkelijk nog iets anders:
Een bedrijf wat zich moet conformeren aan SO moet zoiezo al
de volledige kosten van een SOX compliance dragen, of ze nu
GPL software gebruiken of niet. SOX bekijkt interne
procedures voor het controleren van software licensering,
GPL leent zich hier (ten opzichte van normale licenties)
uitermate voor. Om een voorbeeld te noemen, wanneer
kazaa/msn/adware/gtalk of iets dergelijks gebruikt word door
een gebruiker, weet jij wat er in die licentie staat?
Wanneer je alle licenties zou bekijken van programma’s
geïnstalleerd in een netwerk zal je zien dat 50% totaal
ingaat tegen alle normen en waarden en nog eens 45% niet
compliant zal zijn met SOX. De GPL is duidelijk en
overzichtelijk en leent zich uitermate goed om
‘gecontroleerd’ te worden. Maar hou je je er niet aan, dan
ben je (net als het gebruik van andere code illegaal)
strafbaar. Overigens alleen als je zo gek bent in amerika te
wonen…
Joep Gommers
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
