Для быстрого создания какого-то продукта часто используют различные open source решения. Но применение открытого ПО несёт в себе определенные риски: от финансовых до юридических.
Например, из open source для исследования и визуализации данных наиболее популярен Superset. Около десятка российских систем взяли его за основу своих BI. Но его применение несёт риски:
Стратегические риски. Roadmap Superset формируется с учётом интересов западных якорных заказчиков и интересов американских инвесторов, а не российского бизнеса. Владелец проекта — американская компания Airbnb, и в любой момент по политическим или другим причинам может ограничить доступ к своему ПО для российских разработчиков;
Компании, использующие Superset, зависят от своих внутренних ИТ-команд, что может привести к кадровым и финансовым рискам при уходе ключевых разработчиков;
Организационные риски. Нет централизованной технической поддержки от вендора — пользователи вынуждены искать решения проблем в документации, на форумах и сторонних источниках.
Стоить добавить, что популярность открытого ПО также связана с иллюзией не только «бесплатной» разработки и дальнейшей поддержки со стороны собственного ИТ-персонала, но и кажущимся отсутствием лицензионных платежей. Но разработка на базе ПО с открытым исходным кодом не означает бесконтрольное использование созданных на этом коде продуктов.
Существует ряд open source лицензий: BSD, GNU, MIT, LGPL, AGPL, BSPL, SSPL, Demoware License, Apache License 2.0, RSAL и другие, в которых нужно разбираться. Соблюдать их важно не только компании, которая интегрировала такое решение в свой продукт, но и той, которая такой продукт купила и использует.
В соответствии со статьями 1252 и 1301 ГК РФ иски о нарушении лицензионного права предъявляются к юридическому лицу, использующему указанное программное обеспечение.
Меня зовут Алексей Розанов, я руководитель пресейл-направления и работы с партнёрами ГК Luxms, вендора российской платформы бизнес-аналитики Luxms BI.
Luxms BI — платформа бизнес-аналитики данных с высочайшим быстродействием и горизонтальной масштабируемостью. У неё мощные функциональные и визуальные возможности, а также быстрая обработка больших объёмов данных благодаря своей датацентричной архитектуре. В Реестре российского ПО.
Рассмотрим несколько примеров использования open source решений на рынке BI-аналитики, и я постараюсь подсветить лицензионные риски для компаний, которые используют BI-системы на их основе.
1. Использование open source как основы нового продукта.
Есть российская BI-система, в основе которой лежит open source BI система «Metabase». Metabase Open Source Edition предоставляется:
под лицензией GNU Affero General Public License (AGPL), которая требует раскрытия исходного кода тем лицам, которым вы также предоставляете двоичный файл;
Если российская BI-система использует Metabase под AGPL и не соблюдает требования AGPL, это может привести к юридическим спорам со стороны правообладателей Metabase, а если исходный код системы раскрыт, это может привести к утечке конкурентных преимуществ или уязвимостей.
Если российская BI-система использует Metabase под коммерческой лицензией и не оплачивает её, это может привести к юридическим последствиям, включая судебные иски.
Помимо этого, правообладатель Metabase базируется в Сан-Франциско, Калифорния, что несёт в себе дополнительные риски закрытия или изменения проекта open source. В том числе, остается зависимость от политики лицензирования Metabase: если условия лицензий изменятся, это может повлиять на стоимость или доступность системы в целом.
2. Использование open source, как части системы.
Highcharts — это библиотека для создания интерактивных графиков и диаграмм, написанная на JavaScript. И некоторые популярные российские BI-системы используют её, как основу для своих визуализаций, но при её интеграции в коммерческих проектах применяется лицензия Original Equipment Manufacturer (OEM), которая подразумевает оплату.
OEM-лицензия обычно предусматривает использование библиотеки только в рамках конкретного продукта, в данном случае — BI-системы, и её использование, например, для собственных разработок, может нарушить условия лицензии. Поэтому при внедрении BI-системы со встроенной библиотекой Highcharts нужно убедиться, что вендор приобрел лицензию легально, и она соответствует условиям использования библиотеки в конкретном случае. Если лицензия не оплачена или нарушены её условия, это может привести к юридическим последствиям для компании-пользователя (например, судебным искам со стороны правообладателя Highcharts).
И так же, как с любым open source, использование Highcharts означает зависимость от сторонней библиотеки. Если они изменят свои условия лицензирования или прекратят поддержку, это может повлиять на работу BI-системы.
3. Поставка целиком BI-системы зарубежного вендора под видом российского BI.
На российском рынке, где уход зарубежных вендоров вызвал всплеск спроса на импортозамещение, есть примеры и подобных решений, разделить которые можно на:
Поставка по OEM-лицензии — вполне официально, но с рисками аналогичными использованию, например, Highcharts, разобранным выше;
Полное копирование зарубежной системы, даже не open source, и её выдача за российскую разработку после незначительных доработок. Здесь риски существеннее, поскольку помимо лицензионного вопроса непонятно, какова экспертиза разработчика, его влияние или возможность поддержки и развития исходного кода.
Лицензионные риски состоят также в том, что свободный, в полном смысле этого слова, open source — это не навсегда. И в последние годы явственно наметился тренд на коммерциализацию open source решений. Вот несколько примеров:
2018
– MongoDB. Для MongoDB ограничили свободное использование ПО (ранее использовали AGPL, перешли на SSPL). Подробный разбор есть в статье на Хабре от @PeterZaitsev
2020
– HortonWorks (Hadoop). После поглощения HortonWorks, Cloudera закрывает доступ к сборкам HDP и бесплатный доступ к CDH.
2021
– ElasticSearch Kibana. Elastic меняет правила лицензирования (ранее — Apache 2.0, потом — SSPL, а в 2024 году пообещали вернуться в open source под лицензией AGPL).
– CentOS. RedHat меняет правила разработки бесплатного CentOS.
2023
– Terraform. HashiCorp изменил тип лицензии на BSL.
– The Document Foundation. Российских разработчиков исключили из консультационного совета OSS проекта LibreOffice.
2024
– CockroachDB. Cockroach Labs изменил тип лицензии.
– Greenplum. Закрытие OSS-проекта после поглощения Broadcom.
– CentOS. RedHat прекратила поддержку CentOS.
– Redis. Redis изменил тип лицензии с BSD на Redis Source Available License (RSALv2) и Server Side Public License (SSPLv1).
– Linux. Российских разработчиков исключили из OSS проекта Linux и доступ к репозиторию ПО.
Я не хочу сказать, что использовать open source — это плохо и вредно. Мы в платформе Luxms BI тоже используем open source компоненты, но все они соответствуют следующим условиям:
Открытые исходные коды (open source);
Наличие публично доступного репозитария для скачивания исходных кодов;
Выход новых версий (или исправление ошибок) не реже двух раз в год;
Свободная лицензия: Apache 2.0, MIT, BSD, LGPL или совместимая.
Полный список — в нашей документации.
Поэтому всё, что я хочу донести, это важность для компании, которая выбирает BI-систему, провести дополнительный юридический анализ, чтобы избежать лицензионных рисков:
Выяснить, какое открытое ПО используется в системе;
Проверить лицензию не только выбранной BI-системы, но и всех её компонентов;
Проанализировать все лицензионные соглашения и действующие в них разрешения и ограничения;
Убедиться, что по этим параметрам всё устраивает и подходит;
Убедиться, что вендор выполняет требования лицензии: например, делает все необходимые отчисления.
А вы обращали внимание на тренд смены лицензий у open source проектов? Используете ли открытое ПО в своей работе и смены лицензии какого проекта не хотите больше всего?