Análisis de los aspectos legales de OSS (version 2017)
-
Upload
iwan-van-der-kleijn -
Category
Technology
-
view
43 -
download
0
Transcript of Análisis de los aspectos legales de OSS (version 2017)
UPV Universitat Politècnica de València30 de marzo 2017
Open Source Software
Análisis de los aspectos legales y su aplicación práctica en el mercado IT
The information contained in this document is proprietary and confidential. Copyright© 2016 Capgemini. All rights reserved.
Open Source Software
Marzo 2017Cristina Yerro i HerasGroup Legal Dept.Iwan van der KleijniCSD - Team Lead devonfw
The information contained in this document is proprietary and confidential. Copyright© 2016 Capgemini. All rights reserved.
Open Source Software
Mayo 2016Cristina Yerro i HerasGroup Legal Dept.Iwan van der KleijniCSD - Team Lead Devon fw
Análisis de los aspectos legales y su aplicación práctica en el mercado IT
The information contained in this document is proprietary and confidential. Copyright© 2016 Capgemini. All rights reserved.
About:
The information contained in this document is proprietary and confidential. Copyright© 2016 Capgemini. All rights reserved.
¿Quién soy yo?
The information contained in this document is proprietary and confidential. Copyright© 2016 Capgemini. All rights reserved.
About:
Vision and Focus
The information contained in this presentation is proprietary. © 2017 Capgemini. All rights reserved. Rightshore® is a trademark belonging to Capgemini. 7
...creating multi-device applications and multi-
platform (micro) services in the Cloud or existing IT
infrastructures with the focus on short time-to-market and
great user experience...
devonfw is targeted at
The information contained in this presentation is proprietary. © 2017 Capgemini. All rights reserved. Rightshore® is a trademark belonging to Capgemini. 8
a series of Open Source & industry standard frameworks, used to create stand-alone,
production-grade applications which can "just run", but which are fundamentally modular in nature so
they can be effortlessly extended with external components & libraries.
This is supported by a rich and highly automated toolchain, standardized architecture blueprints and industry proven best practices, patterns and code
conventions.
devonfw consists of ...
The information contained in this presentation is proprietary. © 2017 Capgemini. All rights reserved. Rightshore® is a trademark belonging to Capgemini. 9
Changing role of Software Development
This is where the action is
devonfw - Technology stacks to choose from
Server
Client
CloudApp servers Microservices
development
runtime
Persistence
devonfw as part of your integration infrastructure (rather than hub or PaaS)
CRMMBaaS
*) Report by Saugatuck Technology with Gartner
In a recent survey *) the majority of respondents cited integration issues in the Cloud as a top concern, second only to data security and privacy. It becomes critical to avoid that Enterprise data becomes segregated into cloud silos and to guarantee that applications will talk to each other within the cloud and between the cloud and enterprise.
A strong value proposition of devonfw is that it can help solve these connectivity issues. Not by being a single monolithic integration hub with a single point of failure, but rather by being part of the standard infrastructure of a company, providing the "glue" between all of the components within the Enterprise ecosystem without “turning into a PaaS”.
devonfw CoreTeam
Copyright © Capgemini 2016. All Rights Reserved
1220161020_Devon_Overview_for_Engineers+Architects
devonfw projects
Currently there are over35 devonfw projects underway in Germany, Poland, Spain, Italy, France, The Netherlands and India for clients like Daimler, Siemens, Vodafone, and German, French, Dutch and Spanish governments/public organisations
Devonfw is being rolled out in all 13 countries of Capgemini APPSTWO
dev-on time; on target
The information contained in this document is proprietary and confidential. Copyright© 2016 Capgemini. All rights reserved.
Esta presentación se hizo junto con
Cristina Yerro i Heras Capgemini Group Legal Dept.
que es una verdadera experta legal
I Am Not A Lawyer …..but…..
The information contained in this document is proprietary and confidential. Copyright© 2016 Capgemini. All rights reserved.
Índice
1. Introducción al OSS
2. El uso de OSS en el mercado
3. Riesgos jurídicos en el uso de OSS
4. Preguntas
The information contained in this document is proprietary and confidential. Copyright© 2016 Capgemini. All rights reserved.
Introducción al OSS
The information contained in this document is proprietary and confidential. Copyright© 2016 Capgemini. All rights reserved.
1. ¿Por qué hablar del OSS?
4000+ vulnerabilidades open source
reportadas cada año
98% de las compañías utilizan open
source code sin saberlo“Hasta 2016, Open Source Software esta incluído en aplicaciones críticas en el 99% de las compañías
Global 2000.”
Milesde vulnerabilidades open
source en amplios portfolios de app
No hay visibilidaddel uso de open source &
riesgos/impacto
30%+ del código base deriva de open
source
Más de 130,000 vulnerabilitdades registradas en la BBDD
de un proveedor de servicios OSS
The information contained in this document is proprietary and confidential. Copyright© 2016 Capgemini. All rights reserved.
¿VERDADERO O FALSO?
Todos los Software Open Source (OSS) son material de dominio público : no es propiedad de nadie
OSS otorga garantías sobre los derechos de propiedad intelectual
No hay términos contractuales en las licencias de
productos OSS
Utilizar OSS no implica riesgos de infracciones de derechos de propiedad intelectual
Los derechos de propiedad intelectual adjuntos a un OSS no son obligatorios y por tanto, no hay riesgo de una reclamación legal
FALSO !
FALSO !
FALSO !
FALSO !
FALSO !
1. Introducción al Open Source Software (OSS)
The information contained in this document is proprietary and confidential. Copyright© 2016 Capgemini. All rights reserved.
1. Introducción al OSS
OSS está protegido por las leyes de propiedad intelectual
Cuando descargas o usas componentes OSS, estás firmando un contrato con el autor y por tanto, tienes que cumplir las obligaciones impuestas en la licencia
Derechos: uso libre, normalmente no hay coste de licencias, acceso al código fuente, distribución del sw y de los trabajos derivados – pero NO es una renuncia de copyright!
Principales obligaciones:• entregar el código fuente del componente OSS• entregar los términos de la licencia• no cambiar las declaraciones de autoría ni las exclusiones de garantía• registrar cualquier cambio en el código fuente (incluyendo fecha nombre del empleado/compañía)
Definición: Open Source Software (OSS) software cuyo código fuente es accesible para ser utilizado, modificado o mejorado por cualquier persona
The information contained in this document is proprietary and confidential. Copyright© 2016 Capgemini. All rights reserved.
Open Source & Free Software
• Hay una diferencia en filosofía entre “Open Source” y “Free Software” representados por la Open Source Initiative (OSI) y Free Software Foundation (FSF), respectivamente
• En la práctica, todas las licencias reconocidas por la OSI pueden ser consideradas como licencias de código abierto válidos y con toda probabilidad serán considerados como tales en los procesos judiciales
• Ver: https://opensource.org/about
The information contained in this document is proprietary and confidential. Copyright© 2016 Capgemini. All rights reserved.
Licencias con Copyleft estricto: Trabajos derivados del software original solamente se pueden distribuir bajo la misma licencia - “efecto viral“.El mero link a este software puede ser entendido como “obra derivada” – los programas de link i.e. desarrollos, tienen que estar sujetos a la misma licencia. Ejemplos: GPL, EPL, CPL, AGPL
1. Tipos de Licencias de OSS
Licencias sin Copyleft: no contiene obligaciones para la distribución de las modificaciones o trabajos derivados, por lo que también se puede distribuir como licencia propietaria. Ejemplos: Apache, BSD, MIT
Licencias con Copyleft Limitado: requiere la distribución de las modificaciones de OSS bajo la licencia original en algunos casos, pero un link a componentes licenciados diferentes sin cambios en el software es normalmente posible.Ejemplos: LGPL, CDDL, MPL
The information contained in this document is proprietary and confidential. Copyright© 2016 Capgemini. All rights reserved.
Ejemplo: plantilla Licencia BSD
Copyright © [YEAR] [COPYRIGHT OWNER]. All Rights Reserved.
Redistribution and use in source and binary forms, with or without modification, are permitted provided that the following conditions are met:
1. Redistributions of source code must retain the above copyright notice, this list of conditions and the following disclaimer.
2. Redistributions in binary form must reproduce the above copyright notice, this list of conditions and the following disclaimer in the documentation and/or other materials provided with the distribution.
3. The name of the author may not be used to endorse or promote products derived from this software without specific prior written permission.
THIS SOFTWARE IS PROVIDED BY [LICENSOR] "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE AUTHOR BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
The information contained in this document is proprietary and confidential. Copyright© 2016 Capgemini. All rights reserved.
2. El uso de OSS en el mercado
The information contained in this document is proprietary and confidential. Copyright© 2016 Capgemini. All rights reserved.
Utilización de OSS en el mercado
The information contained in this document is proprietary and confidential. Copyright© 2016 Capgemini. All rights reserved.
Crecimiento de utilización de OSS
The information contained in this document is proprietary and confidential. Copyright© 2016 Capgemini. All rights reserved.
Adopción en empresas
The information contained in this document is proprietary and confidential. Copyright© 2016 Capgemini. All rights reserved.
Elección de OSS en proyectos comerciales
The information contained in this document is proprietary and confidential. Copyright© 2016 Capgemini. All rights reserved.
OSS en el mercado
The information contained in this document is proprietary and confidential. Copyright© 2016 Capgemini. All rights reserved.
OSS hoy en día
The information contained in this document is proprietary and confidential. Copyright© 2016 Capgemini. All rights reserved.
¿Por qué ? el crecimiento y dominación de OSS?
The information contained in this document is proprietary and confidential. Copyright© 2016 Capgemini. All rights reserved.
Historia de OSS
• En las décadas de 1950 y 1960 casi todo el software fue producido por académicos e investigadores corporativos que trabajan en colaboración, a menudo compartida como software de dominio público
• Software se distribuye en general bajo los principios de apertura y cooperación que están comunes en el mundo “academia”, y no fue visto como un producto en sí mismo
• A finales de 1970 y principios de 1980 , los empresas de productos informática comenzó de forma rutinaria a cobrar por licencias de software y la imposición de restricciones legales sobre nuevos desarrollos de software, que ahora se ve como activos, a través de los derechos de autor
• En 1983 , Richard Stallman publicó el Manifiesto GNU y puso en marcha el Proyecto GNU
• El sistema operativo Linux, iniciado por Linus Torvalds, fue lanzado en febrero de 1992 bajo la “Licencia Pública General” de GNU (General Public License – GPL)
The information contained in this document is proprietary and confidential. Copyright© 2016 Capgemini. All rights reserved.
La cultura de Academia e OSS
The information contained in this document is proprietary and confidential. Copyright© 2016 Capgemini. All rights reserved.
Mitos y prejuicios sobre OSS
• La calidad de OSS es mejor / menor de software comercial
• OSS es más / menos seguro• OSS es para usuarios de Linux• Las grandes empresas evitan uso
de OSS• OSS es gratis / más caro • El mundillo de OSS es anárquico y
caótico
The information contained in this document is proprietary and confidential. Copyright© 2016 Capgemini. All rights reserved.
Porque utilizar OSS
• Seguridad• Calidad• Personalización• Libertad• Independencia
(de un único proveedor)
• Flexibilidad• Interoperabilidad
• “Auditabilidad“ & Transparencia
• Opciones de asistencia
• Costes• “Probar antes de
comprar”• Innovación
The information contained in this document is proprietary and confidential. Copyright© 2016 Capgemini. All rights reserved.
Survey: The Future of OSS 2016
The information contained in this document is proprietary and confidential. Copyright© 2016 Capgemini. All rights reserved.
devonfw - OSS como moto de desarrollo
The information contained in this document is proprietary and confidential. Copyright© 2016 Capgemini. All rights reserved.
Las tecnologías y prácticas de OSS adoptados por las empresas
The information contained in this document is proprietary and confidential. Copyright© 2016 Capgemini. All rights reserved.
Participación en proyectos OSS
The information contained in this document is proprietary and confidential. Copyright© 2016 Capgemini. All rights reserved.
¿Por qué? Participar en OSS
The information contained in this document is proprietary and confidential. Copyright© 2016 Capgemini. All rights reserved.
No sea un consumidor. ¡Participación!
The information contained in this document is proprietary and confidential. Copyright© 2016 Capgemini. All rights reserved.
Falta de gobernación
• 50 % de las empresas no tienen una política formal para la selección y aprobación de código fuente abierto
• Casi el 50 % de las empresas que tienen políticas no hacen cumplir las reglas
• 1/3 de las empresas no tienen ningún proceso para identificar conocidas vulnerabilidades en el código abierto
The information contained in this document is proprietary and confidential. Copyright© 2016 Capgemini. All rights reserved.
Necesidades: gobernación
• La falta de gobernabilidad efectiva de código abierto expone a las organizaciones a riesgos legales y comerciales
• Para evitar estos riesgos organizaciones deben desarrollar políticas y establecer programas de gobierno para hacer cumplir estas políticas
The information contained in this document is proprietary and confidential. Copyright© 2016 Capgemini. All rights reserved.
Ejemplo falta de gobernación: seguridad y licencias
The information contained in this document is proprietary and confidential. Copyright© 2016 Capgemini. All rights reserved.
Necesidades: gobernación
• Es necesario para obtener soluciones para “escanear” productos con objetivo de determinar los licencias de componentes OSS y si no hay ninguna vulnerabilidades de seguridad
• La naturaleza de OSS hace este tipo de servicios posibles!
• No es fácil o posible con el software “cerrado”/comercial pero es igualmente necesario
The information contained in this document is proprietary and confidential. Copyright© 2016 Capgemini. All rights reserved.
Riesgos jurídicos en el uso de OSS
The information contained in this document is proprietary and confidential. Copyright© 2016 Capgemini. All rights reserved.
SOFTWARE OSS SOFTWARE DE PROPIEDADLa licencia de uso del software se entrega
GRATUITAMENTE (normalmente)Licenciado
POR UN PRECIO
El código fuente esPÚBLICO
Sólo se distribuye enCÓDIGO OBJETO
La asistencia técnica esGRATUITA Y SIN SLA (normalmente)
Asistencia TécnicaPrestada por UN PRECIO, CON O SIN SLA
NO HAY GARANTÍASque cubran los defectos o adaptabilidad
para un propósito concreto
NO hay GARANTÍA que cubran los defectos o adaptabilidad para un propósito concreto
EXCEPTO SI SE NEGOCIA
No existe protección contra INFRACCIONES DE DERECHOS DE
PROPIEDAD INTELECTUAL (excepto las legales)
Existe protección contra INFRACCIONES DE DERECHOS DE PROPIEDAD INTELECTUAL
negociadas (y las legales)
Igual que cualquier licencia de propiedad,Estamos obligados legalmente por los términos de la licencia OSS
3. Riesgos jurídicos en el uso de OSS
The information contained in this document is proprietary and confidential. Copyright© 2016 Capgemini. All rights reserved.
3. Compatibilibilidad y Contrato con el cliente
Different es licencias OS no tienen que ser siempre compatibles enter sí o con licencias propietarias (por ejemplo con Copyleft efecto) así que es necesario revisar su compatibilidad
Proceso de verificación de licencias:• ¿Uso externo o interno?
– Externo:- Revisar contrato con el cliente- Identificar el número de OSS y el tipo:
- Sin-copyleft- Limitado copyleft- Stricto copyleft
- Más de 1 OSS: proceso de compatibilidad- Registro/Inventario
The information contained in this document is proprietary and confidential. Copyright© 2016 Capgemini. All rights reserved.
Compatibilidad y contrato con el cliente
GPL v2
GPL v3
LGPL v2.1
LGPL v3
Apache 2.0
MIT Licens
e
3-clause BSD
License
CPL/EPL MS-PL
GPL v2 GPL v3
LGPL v2.1 LGPL v3
Apache 2.0 MIT
License
The information contained in this document is proprietary and confidential. Copyright© 2016 Capgemini. All rights reserved.
Si no cumplimos con los términos de la licencia OSS, pones a la empresa Y a sus Clientes en
importantes RIESGOS
Responsabilidad penalResponsabilidad civil contractual
Responsabilidad civil extracontractual
Consecuencias jurídicas por infracciones
The information contained in this document is proprietary and confidential. Copyright© 2016 Capgemini. All rights reserved.
Responsabilidad extracontractual / Responsabilidad civil
DE LOS CLIENTES DE TERCERAS PARTESDE LOS AUTORES DE OSS
Infracciones de derechos de autor
(resp. legal/ responsabilidad penal)
Incumplimiento Contractual
(No hay limitación de daños por
infracciones de IP)
Infracciones de licencias OSS (resp. contractual / responsabilidad civil)
Indemnizaciones por reclamaciones de terceros(Normalmente sin límite)
SE BUSCA AL
INFRACTOR
3. RIESGOS LEGALES … para el Proveedor
The information contained in this document is proprietary and confidential. It is for Capgemini internal purposes only. Do not circulate. © 2009 All rights reserved by Cap Gemini SA
The information contained in this document is proprietary and confidential. Copyright© 2016 Capgemini. All rights reserved.
Responsabilidad extracontractual(Responsabilidad Civil)
CLIENTE
TERCEROSAUTORES OSS
Infracciones de derechos de autor (Resp. legal &Responsabilidad penal)
Incumplimiento de Licencia OSS (Resp. contractual & responsabilidad civil)
3. RIESGOS LEGALES… para los clientes
The information contained in this document is proprietary and confidential. It is for Capgemini internal purposes only. Do not circulate. © 2009 All rights reserved by Cap Gemini SA
Responsabilidad extracontractual
The information contained in this document is proprietary and confidential. Copyright© 2016 Capgemini. All rights reserved.
3. Consecuencias jurídicas por infracciones
Civiles: Ley de Propiedad Intelectual• Cese actividad ilícita: suspensión explotación, prohibición de reanudarla, retirada de ejemplares ilícitos y su destrucción (excepto los adquiridos de buena fe para uso personal), inutilización y destrucción de moldes, negativos…, precinto de aparatos para impedir la comunicación. • Indemnización daños y perjuicios: a elección del perjudicado:
– Beneficio obtenido presumiblemente sin utilización ilícita– Remuneración que hubiera percibido de haber autorizado la explotación– Gastos investigación– Daño moral: sin necesidad de perjuicio económico
• Instar la publicación de la resolución a costa del demandado•Plazo: 5 años desde que el perjudicado pudo ejercitarla• Medidas cautelares: intervención y depósito de ingresos; suspensión actividad; secuestro ejemplares; embargo equipos, aparatos y materiales.• Medidas cautelares y suspensión servicios a los intermediarios
The information contained in this document is proprietary and confidential. Copyright© 2016 Capgemini. All rights reserved.
3. Consecuencias jurídicas por infracciones
Penales: Código Penal (art. 270 a 272 CP)• Reproducción, plagio, distribución, transformación o comunicación pública, total o parcial, con ánimo de lucro y en perjuicio de tercero, sin autorización del autor• Quien importe, exporte o almacene ejemplares sin autorización• Quien fabrique, ponga en circulación y tenga cualquier medio específicamente destinado a facilitar la supresión no autorizada o la neutralización de cualquier dispositivo técnico que se haya utilizado para proteger programas de ordenador• Pena:
– Prisión de 6 meses a 2 años y multa de 12 a 24 meses– Prisión de 1 a 4 años y multa de 12 a 24 meses e inhabilitación especial para
el ejercicio de la profesión durante un periodo de 2 a 5 años si:- El beneficio obtenido es de especial trascendencia- El daño causado es de especial gravedad- El culpable perteneciere a una organización o asociación con finalidad infractora- Utilización de menores de 18 años para cometer el delito
• Posibilidad de publicación de la sentencia condenatoria a costa del condenado, en un periódico oficial
• Posibilidad de extender la responsabilidad civil deriva de estos delitos relativas al cese de la actividad ilícita y a la indemnización de daños y perjuicios
The information contained in this document is proprietary and confidential. Copyright© 2016 Capgemini. All rights reserved.
3. Ejemplos de procesos judiciales
US:• Jackobsend v. Katxer, 2008: incumplimiento de los términos de la licencia OSS implica un incumplimiento de contrato e infraccion de derechos de autor. Acuedo $100K• Software Freedom Conservancy v. Best Buy, 2010: Busybox software bajo GPL demandó 14 compañías (Samsung, JVC...) por elu so de su OSS en los dispositivos electrónicos. Acuerdo confidencial con 13 compañías pero con 1 se condenó a $90K como daños punitivos y costas procesales y abogadso $47K
UK: Free Software Foundation Europe v. Home Hub: Una compañía de telecomunicaciones que vendió el dispositivo BT Home Hub utilizando OSS basado en un sistema operativo system (under GPL v2) sin distribuir el código fuente. BT cambió su política y faciilitó el código fuente.
France: Free, 2008: Un operador de telecomunicaciones usó 2 componentes OSS sin publicar el código fuente al distribuirlo (GNU/GPL). Los desarrolladores pidieron 1€ por cada distribución de Freebox. Acuerdo confidencial. Free actualiaó sus ToU informiando a los clientes y facilitand la lista de los OSS utilizados
The information contained in this document is proprietary and confidential. Copyright© 2016 Capgemini. All rights reserved.
4. Preguntas
The information contained in this document is proprietary and confidential. Copyright© 2016 Capgemini. All rights reserved.
¡¡¡ Gracias !!!
Open Source Software
The information contained in this document is proprietary and confidential. Copyright© 2016 Capgemini. All rights reserved.
• Black Duck & North Bridge Survey 2015 & 2016: The Future of Open Sourcehttp://www.northbridge.com/2015-future-open-source-survey-resultshttps://www.blackducksoftware.com/2016-future-of-open-source
Referencias