análisis de los aspectos legales de oss

Cátedra Capgemini - Universitat de València a la innovación en el desarrollo de Software17 de mayo 2016

Open Source Sofware

Análisis de los aspectos legales y su aplicación práctica en el mercado IT

The information contained in this document is proprietary and confidential. Copyright© 2016 Capgemini. All rights reserved.

Open Source Software

Mayo 2016Cristina Yerro i HerasGroup Legal Dept.Iwan van der KleijniCSD - Team Lead Devon fw



Mayo 2016Cristina Yerro i HerasGroup Legal Dept.Iwan van der KleijniCSD - Team Lead Devon fw

Análisis de los aspectos legales y su aplicación práctica en el mercado IT


About:


¿Quién soy yo?


Capgemini & Devon fw

devonfw is the CSD standard platform for Capgemini Europa & India.

It provides a standardized architecture blueprint for web and Java-applications, an open best-of-breed technology stack as well as industry proven best practices and code conventions. It is a industrialization initiative that is aligned across Capgemini.


Esta presentación se hizo junto con

Cristina Yerro i Heras Capgemini Group Legal Dept.

que es una verdadera experta legal

I Am Not A Lawyer …..but…..


Índice

1. Introducción al OSS

2. El uso de OSS en el mercado

3. Riesgos jurídicos en el uso de OSS

4. Preguntas


Introducción al OSS


1. ¿Por qué hablar del OSS?

4000+ vulnerabilidades open source

reportadas cada año

98% de las compañías utilizan open

source code sin saberlo“Hasta 2016, Open Source Software esta incluído en aplicaciones críticas en el 99% de las compañías

Global 2000.”

Milesde vulnerabilidades open

source en amplios portfolios de app

No hay visibilidaddel uso de open source &

riesgos/impacto

30%+ del código base deriva de open

source

Más de 130,000 vulnerabilitdades registradas en la BBDD

de un proveedor de servicios OSS


¿VERDADERO O FALSO?

Todos los Software Open Source (OSS) son material de dominio público : no es propiedad de nadie

OSS otorga garantías sobre los derechos de propiedad intelectual

No hay términos contractuales en las licencias de

productos OSS

Utilizar OSS no implica riesgos de infracciones de derechos de propiedad intelectual

Los derechos de propiedad intelectual adjuntos a un OSS no son obligatorios y por tanto, no hay riesgo de una reclamación legal

FALSO !

FALSO !

FALSO !

FALSO !

FALSO !

1. Introducción al Open Source Software (OSS)


1. Introducción al OSS

OSS está protegido por las leyes de propiedad intelectual

Cuando descargas o usas componenetes OSS, estás firmando un contrato con el autor y por tanto, tienes que cumplir las obligaciones impuestas en la licencia

Derechos: uso libre, normalmente no hay coste de licencias, acceso al código fuente, distribución del sw y de los trabajos derivados – pero NO es una renunia de copyright!

Principales obligaciones:• entregar el código fuente del componente OSS• entergar los términos de la licencia• no cambiar las declaraciones de autoría ni las exclusiones de garantía• registrar cualquier cambio en el código fuente (incluyendo fechay nombre del empleado/compañía)

Definición: Open Source Software (OSS) software cuyo código fuente es accesible para ser utilizado, modificado o mejorado por cualuquier pesona


Open Source & Free Software

• Hay una diferencia en filosofía entre “Open Source” y “Free Software” representados por la Open Source Initiative (OSI) y Free Software Foundation (FSF), respectivamente

• En la práctica, todas las licencias reconocidas por la OSI pueden ser consideradas como licencias de código abierto válidos y con toda probabilidad serán considerados como tales en los procesos judiciales

• Ver: https://opensource.org/about

https://opensource.org/about


Licencias con Copyleft estricto: Trabajos derivados del software original solamente se pueden distribuir bajo la misma licencia - “efecto viral“.El mero link a este software puede ser entendido como “obra derivada” – los programas de link i.e. desarrollos, tienen que estar sujetos a la misma licencia. Ejemplos: GPL, EPL, CPL, AGPL

1. Tipos de Licencias de OSS

Licencias sin Copyleft: no contiene obligaciones para la distribución de las modificaciones o trabajos derivados, por lo que también se puede distribuir como licencia propietaria. Ejemplos: Apache, BSD, MIT

Licencias con Copyleft Limitado: requiere la distribución de las modificaciones de OSS bajo la licencia original en algunos casos, pero un link a componentes licenciados diferentes sin cambios en el software es normalmente posible.Ejemplos: LGPL, CDDL, MPL


Ejemplo: plantilla Licencia BSD

Copyright © [YEAR] [COPYRIGHT OWNER]. All Rights Reserved.

Redistribution and use in source and binary forms, with or without modification, are permitted provided that the following conditions are met:

1. Redistributions of source code must retain the above copyright notice, this list of conditions and the following disclaimer.

2. Redistributions in binary form must reproduce the above copyright notice, this list of conditions and the following disclaimer in the documentation and/or other materials provided with the distribution.

3. The name of the author may not be used to endorse or promote products derived from this software without specific prior written permission.

THIS SOFTWARE IS PROVIDED BY [LICENSOR] "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE AUTHOR BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.


1. OSS Chart

Dual/Multiple Licensing: OSS con multíples licencias. El usuario puede escoger libremente bajo que licencia quiere usar o distribuir el software

OSS Chart:

Microsoft Office Word Document


2. El uso de OSS en el mercado


Utilización de OSS en el mercado


Crecimiento de utilización de OSS


Adaptación en empresas


Elección de OSS en proyectos comerciales


OSS en el mercado


OSS hoy en día


¿Por qué ? el crecimiento y dominación de OSS?


Historia de OSS

• En las décadas de 1950 y 1960 casi todo el software fue producido por académicos e investigadores corporativos que trabajan en colaboración, a menudo compartida como software de dominio público

• Software se distribuye en general bajo los principios de apertura y cooperación que están comunes en el mundo “academia”, y no fue visto como un producto en sí mismo

• A finales de 1970 y principios de 1980 , los empresas de productos informática comenzó de forma rutinaria a cobrar por licencias de software y la imposición de restricciones legales sobre nuevos desarrollos de software, que ahora se ve como activos, a través de los derechos de autor

• En 1983 , Richard Stallman publicó el Manifiesto GNU y puso en marcha el Proyecto GNU

• El sistema operativo Linux, iniciado por Linus Torvalds, fue lanzado en febrero de 1992 bajo la “Licencia Pública General” de GNU (General Public License – GPL)


La cultura de Academia e OSS


Mitos y prejuicios sobre OSS

• La calidad de OSS es mejor / menor de software comercial

• OSS es más / menos seguro• OSS es para usuarios de Linux• Las grandes empresas evitan uso

de OSS• OSS es gratis / más caro • El mundillo de OSS es anárquico y

caótico


Porque utilizar OSS

• Seguridad• Calidad• Personalización• Libertad• Flexibilidad• Interoperabilida

d

• “Auditabilidad“ & Transparencia

• Opciones de asistencia

• Costes• “Probar antes de

comprar”


Survey: The Future of OSS 2016


Devon Fw - OSS como moto de desarrollo


Las prácticas de OSS adoptados por las empresas


Participación en proyectos OSS


¿Por qué? Participar en OSS


No sea un consumidor. ¡Participación!


Falta de gobernación

• 50 % de las empresas no tienen una política formal para la selección y aprobación de código fuente abierto

• Casi el 50 % de las empresas que tienen políticas no hacen cumplir las reglas

• 1/3 de las empresas no tienen ningún proceso para identificar conocidas vulnerabilidades en el código abierto


Necesidades: gobernación

• La falta de gobernabilidad efectiva de código abierto expone a las organizaciones a riesgos legales y comerciales

• Para evitar estos riesgos organizaciones deben desarrollar políticas y establecer programas de gobierno para hacer cumplir estas políticas


Ejemplo falta de gobernación: seguridad y licencias


Necesidades: gobernación

• Es necesario para obtener soluciones para “escanear” productos con objetivo de determinar los licencias de componentes OSS y si no hay ninguna vulnerabilidades de seguridad

• La naturaleza de OSS hace este tipo de servicios posibles!

• No es fácil o posible con el software “cerrado”/comercial pero es igualmente necesario


Riesgos jurídicos en el uso de OSS


SOFTWARE OSS SOFTWARE DE PROPIEDADLa licencia de uso del software se entrega

GRATUITAMENTE (normalmente)Licenciado

POR UN PRECIO

El código fuente esPÚBLICO

Sólo se distribuye enCÓDIGO OBJETO

La asistencia técnica esGRATUITA Y SIN SLA (normalmente)

Asistencia TécnicaPrestada por UN PRECIO, CON O SIN SLA

NO HAY GARANTÍASque cubran los defectos o adaptabilidad

para un propósito concreto

NO hay GARANTÍA que cubran los defectos o adaptabilidad para un propósito concreto

EXCEPTO SI SE NEGOCIA

No existe protección contra INFRACCIONES DE DERECHOS DE

PROPIEDAD INTELECTUAL (excepto las legales)

Existe protección contra INFRACCIONES DE DERECHOS DE PROPIEDAD INTELECTUAL

negociadas (y las legales)

Igual que cualquier licencia de propiedad,Estamos obligados legalmente por los términos de la licencia OSS

3. Riesgos jurídicos en el uso de OSS


3. Compatibilibilidad y Contrato con el cliente

Different es licencias OS no tienen que ser siempre compatibles enter sí o con licencias propietarias (por ejemplo con Copyleft efecto) así que es necesario revisar su compatibilidad

Proceso de verificación de licencias:• ¿Uso externo o interno?

– Externo:- Revisar contrato con el cliente- Identificar el número de OSS y el tipo:

- Sin-copyleft- Limitado copyleft- Stricto copyleft

- Más de 1 OSS: proceso de compatibilidad- Registro/Inventario


Compatibilidad y contrato con el cliente

GPL v2

GPL v3

LGPL v2.1

LGPL v3

Apache 2.0

MIT Licens

e

3-clause BSD

License

CPL/EPL MS-PL

GPL v2 GPL v3

LGPL v2.1 LGPL v3

Apache 2.0 MIT

License


Si no cumplimos con los términos de la licencia OSS, pones a la empresa Y a sus Clientes en

importantes RIESGOS

Responsabilidad penalResponsabilidad civil contractual

Responsabilidad civil extracontractual

Consecuencias jurídicas por infracciones


Responsabilidad extracontractual / Responsabilidad civil

DE LOS CLIENTES DE TERCERAS PARTESDE LOS AUTORES DE OSS

Infracciones de derechos de autor

(resp. legal/ responsabilidad penal)

Incumplimiento Contractual

(No hay limitación de daños por

infracciones de IP)

Infracciones de licencias OSS (resp. contractual / responsabilidad civil)

Indemnizaciones por reclamaciones de terceros(Normalmente sin límite)

SE BUSCA AL

INFRACTOR

3. RIESGOS LEGALES … para el Proveedor

The information contained in this document is proprietary and confidential. It is for Capgemini internal purposes only. Do not circulate. © 2009 All rights reserved by Cap Gemini SA


Responsabilidad extracontractual(Responsabilidad Civil)

CLIENTE

TERCEROSAUTORES OSS

Infracciones de derechos de autor (Resp. legal &Responsabilidad penal)

Incumplimiento de Licencia OSS (Resp. contractual & responsabilidad civil)

3. RIESGOS LEGALES… para los clientes

The information contained in this document is proprietary and confidential. It is for Capgemini internal purposes only. Do not circulate. © 2009 All rights reserved by Cap Gemini SA

Responsabilidad extracontractual


3. Consecuencias jurídicas por infracciones

Civiles: Ley de Propiedad Intelectual• Cese actividad ilícita: suspensión explotación, prohibición de reanudarla, retirada de ejemplares ilícitos y su destrucción (excepto los adquiridos de buena fe para uso personal), inutilización y destrucción de moldes, negativos…, precinto de aparatos para impedir la comunicación. • Indemnización daños y perjuicios: a elección del perjudicado:

– Beneficio obtenido presumiblemente sin utilización ilícita– Remuneración que hubiera percibido de haber autorizado la explotación– Gastos investigación– Daño moral: sin necesidad de perjuicio económico

• Instar la publicación de la resolución a costa del demandado•Plazo: 5 años desde que el perjudicado pudo ejercitarla• Medidas cautelares: intervención y depósito de ingresos; suspensión actividad; secuestro ejemplares; embargo equipos, aparatos y materiales.• Medidas cautelares y suspensión servicios a los intermediarios


3. Consecuencias jurídicas por infracciones

Penales: Código Penal (art. 270 a 272 CP)• Reproducción, plagio, distribución, transformación o comunicación pública, total o parcial, con ánimo de lucro y en perjuicio de tercero, sin autorización del autor• Quien importe, exporte o almacene ejemplares sin autorización• Quien fabrique, ponga en circulación y tenga cualquier medio específicamente destinado a facilitar la supresión no autorizada o la neutralización de cualquier dispositivo técnico que se haya utilizado para proteger programas de ordenador• Pena:

– Prisión de 6 meses a 2 años y multa de 12 a 24 meses– Prisión de 1 a 4 años y multa de 12 a 24 meses e inhabilitación especial para

el ejercicio de la profesión durante un periodo de 2 a 5 años si:- El beneficio obtenido es de especial trascendencia- El daño causado es de especial gravedad- El culpable perteneciere a una organización o asociación con finalidad infractora- Utilización de menores de 18 años para cometer el delito

• Posibilidad de publicación de la sentencia condenatoria a costa del condenado, en un periódico oficial

• Posibilidad de extender la responsabilidad civil deriva de estos delitos relativas al cese de la actividad ilícita y a la indemnización de daños y perjuicios


3. Ejemplos de procesos judiciales

US:• Jackobsend v. Katxer, 2008: incumplimiento de los términos de la licencia OSS implica un incumplimiento de contrato e infraccion de derechos de autor. Acuedo $100K• Software Freedom Conservancy v. Best Buy, 2010: Busybox software bajo GPL demandó 14 compañías (Samsung, JVC...) por elu so de su OSS en los dispositivos electrónicos. Acuerdo confidencial con 13 compañías pero con 1 se condenó a $90K como daños punitivos y costas procesales y abogadso $47K

UK: Free Software Foundation Europe v. Home Hub: Una compañía de telecomunicaciones que vendió el dispositivo BT Home Hub utilizando OSS basado en un sistema operativo system (under GPL v2) sin distribuir el código fuente. BT cambió su política y faciilitó el código fuente.

France: Free, 2008: Un operador de telecomunicaciones usó 2 componentes OSS sin publicar el código fuente al distribuirlo (GNU/GPL). Los desarrolladores pidieron 1€ por cada distribución de Freebox. Acuerdo confidencial. Free actualiaó sus ToU informiando a los clientes y facilitand la lista de los OSS utilizados


4. Preguntas


¡¡¡ Gracias !!!



• Black Duck & North Bridge Survey 2015 & 2016: The Future of Open Sourcehttp://www.northbridge.com/2015-future-open-source-survey-resultshttps://www.blackducksoftware.com/2016-future-of-open-source

Referencias

http://www.northbridge.com/2015-future-open-source-survey-results



https://www.blackducksoftware.com/2016-future-of-open-source



análisis de los aspectos legales de oss

Internet