Análisis de los aspectos legales de OSS (version 2017)

UPV Universitat Politècnica de València30 de marzo 2017

Open Source Software

Análisis de los aspectos legales y su aplicación práctica en el mercado IT

The information contained in this document is proprietary and confidential. Copyright© 2016 Capgemini. All rights reserved.


Marzo 2017Cristina Yerro i HerasGroup Legal Dept.Iwan van der KleijniCSD - Team Lead devonfw



Mayo 2016Cristina Yerro i HerasGroup Legal Dept.Iwan van der KleijniCSD - Team Lead Devon fw

Análisis de los aspectos legales y su aplicación práctica en el mercado IT


About:


¿Quién soy yo?


About:

Vision and Focus

The information contained in this presentation is proprietary. © 2017 Capgemini. All rights reserved. Rightshore® is a trademark belonging to Capgemini. 7

...creating multi-device applications and multi-

platform (micro) services in the Cloud or existing IT

infrastructures with the focus on short time-to-market and

great user experience...

devonfw is targeted at


a series of Open Source & industry standard frameworks, used to create stand-alone,

production-grade applications which can "just run", but which are fundamentally modular in nature so

they can be effortlessly extended with external components & libraries.

This is supported by a rich and highly automated toolchain, standardized architecture blueprints and industry proven best practices, patterns and code

conventions.

devonfw consists of ...


Changing role of Software Development

This is where the action is

devonfw - Technology stacks to choose from

Server

Client

CloudApp servers Microservices

development

runtime

Persistence

devonfw as part of your integration infrastructure (rather than hub or PaaS)

CRMMBaaS

*) Report by Saugatuck Technology with Gartner

In a recent survey *) the majority of respondents cited integration issues in the Cloud as a top concern, second only to data security and privacy. It becomes critical to avoid that Enterprise data becomes segregated into cloud silos and to guarantee that applications will talk to each other within the cloud and between the cloud and enterprise.

A strong value proposition of devonfw is that it can help solve these connectivity issues. Not by being a single monolithic integration hub with a single point of failure, but rather by being part of the standard infrastructure of a company, providing the "glue" between all of the components within the Enterprise ecosystem without “turning into a PaaS”.

devonfw CoreTeam

Copyright © Capgemini 2016. All Rights Reserved

1220161020_Devon_Overview_for_Engineers+Architects

devonfw projects

Currently there are over35 devonfw projects underway in Germany, Poland, Spain, Italy, France, The Netherlands and India for clients like Daimler, Siemens, Vodafone, and German, French, Dutch and Spanish governments/public organisations

Devonfw is being rolled out in all 13 countries of Capgemini APPSTWO

dev-on time; on target


Esta presentación se hizo junto con

Cristina Yerro i Heras Capgemini Group Legal Dept.

que es una verdadera experta legal

I Am Not A Lawyer …..but…..


Índice

1. Introducción al OSS

2. El uso de OSS en el mercado

3. Riesgos jurídicos en el uso de OSS

4. Preguntas


Introducción al OSS


1. ¿Por qué hablar del OSS?

4000+ vulnerabilidades open source

reportadas cada año

98% de las compañías utilizan open

source code sin saberlo“Hasta 2016, Open Source Software esta incluído en aplicaciones críticas en el 99% de las compañías

Global 2000.”

Milesde vulnerabilidades open

source en amplios portfolios de app

No hay visibilidaddel uso de open source &

riesgos/impacto

30%+ del código base deriva de open

source

Más de 130,000 vulnerabilitdades registradas en la BBDD

de un proveedor de servicios OSS


¿VERDADERO O FALSO?

Todos los Software Open Source (OSS) son material de dominio público : no es propiedad de nadie

OSS otorga garantías sobre los derechos de propiedad intelectual

No hay términos contractuales en las licencias de

productos OSS

Utilizar OSS no implica riesgos de infracciones de derechos de propiedad intelectual

Los derechos de propiedad intelectual adjuntos a un OSS no son obligatorios y por tanto, no hay riesgo de una reclamación legal

FALSO !

FALSO !

FALSO !

FALSO !

FALSO !

1. Introducción al Open Source Software (OSS)


1. Introducción al OSS

OSS está protegido por las leyes de propiedad intelectual

Cuando descargas o usas componentes OSS, estás firmando un contrato con el autor y por tanto, tienes que cumplir las obligaciones impuestas en la licencia

Derechos: uso libre, normalmente no hay coste de licencias, acceso al código fuente, distribución del sw y de los trabajos derivados – pero NO es una renuncia de copyright!

Principales obligaciones:• entregar el código fuente del componente OSS• entregar los términos de la licencia• no cambiar las declaraciones de autoría ni las exclusiones de garantía• registrar cualquier cambio en el código fuente (incluyendo fecha nombre del empleado/compañía)

Definición: Open Source Software (OSS) software cuyo código fuente es accesible para ser utilizado, modificado o mejorado por cualquier persona


Open Source & Free Software

• Hay una diferencia en filosofía entre “Open Source” y “Free Software” representados por la Open Source Initiative (OSI) y Free Software Foundation (FSF), respectivamente

• En la práctica, todas las licencias reconocidas por la OSI pueden ser consideradas como licencias de código abierto válidos y con toda probabilidad serán considerados como tales en los procesos judiciales

• Ver: https://opensource.org/about

https://opensource.org/about


Licencias con Copyleft estricto: Trabajos derivados del software original solamente se pueden distribuir bajo la misma licencia - “efecto viral“.El mero link a este software puede ser entendido como “obra derivada” – los programas de link i.e. desarrollos, tienen que estar sujetos a la misma licencia. Ejemplos: GPL, EPL, CPL, AGPL

1. Tipos de Licencias de OSS

Licencias sin Copyleft: no contiene obligaciones para la distribución de las modificaciones o trabajos derivados, por lo que también se puede distribuir como licencia propietaria. Ejemplos: Apache, BSD, MIT

Licencias con Copyleft Limitado: requiere la distribución de las modificaciones de OSS bajo la licencia original en algunos casos, pero un link a componentes licenciados diferentes sin cambios en el software es normalmente posible.Ejemplos: LGPL, CDDL, MPL


Ejemplo: plantilla Licencia BSD

Copyright © [YEAR] [COPYRIGHT OWNER]. All Rights Reserved.

Redistribution and use in source and binary forms, with or without modification, are permitted provided that the following conditions are met:

1. Redistributions of source code must retain the above copyright notice, this list of conditions and the following disclaimer.

2. Redistributions in binary form must reproduce the above copyright notice, this list of conditions and the following disclaimer in the documentation and/or other materials provided with the distribution.

3. The name of the author may not be used to endorse or promote products derived from this software without specific prior written permission.

THIS SOFTWARE IS PROVIDED BY [LICENSOR] "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE AUTHOR BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.


2. El uso de OSS en el mercado


Utilización de OSS en el mercado


Crecimiento de utilización de OSS


Adopción en empresas


Elección de OSS en proyectos comerciales


OSS en el mercado


OSS hoy en día


¿Por qué ? el crecimiento y dominación de OSS?


Historia de OSS

• En las décadas de 1950 y 1960 casi todo el software fue producido por académicos e investigadores corporativos que trabajan en colaboración, a menudo compartida como software de dominio público

• Software se distribuye en general bajo los principios de apertura y cooperación que están comunes en el mundo “academia”, y no fue visto como un producto en sí mismo

• A finales de 1970 y principios de 1980 , los empresas de productos informática comenzó de forma rutinaria a cobrar por licencias de software y la imposición de restricciones legales sobre nuevos desarrollos de software, que ahora se ve como activos, a través de los derechos de autor

• En 1983 , Richard Stallman publicó el Manifiesto GNU y puso en marcha el Proyecto GNU

• El sistema operativo Linux, iniciado por Linus Torvalds, fue lanzado en febrero de 1992 bajo la “Licencia Pública General” de GNU (General Public License – GPL)


La cultura de Academia e OSS


Mitos y prejuicios sobre OSS

• La calidad de OSS es mejor / menor de software comercial

• OSS es más / menos seguro• OSS es para usuarios de Linux• Las grandes empresas evitan uso

de OSS• OSS es gratis / más caro • El mundillo de OSS es anárquico y

caótico


Porque utilizar OSS

• Seguridad• Calidad• Personalización• Libertad• Independencia

(de un único proveedor)

• Flexibilidad• Interoperabilidad

• “Auditabilidad“ & Transparencia

• Opciones de asistencia

• Costes• “Probar antes de

comprar”• Innovación


Survey: The Future of OSS 2016


devonfw - OSS como moto de desarrollo


Las tecnologías y prácticas de OSS adoptados por las empresas


Participación en proyectos OSS


¿Por qué? Participar en OSS


No sea un consumidor. ¡Participación!


Falta de gobernación

• 50 % de las empresas no tienen una política formal para la selección y aprobación de código fuente abierto

• Casi el 50 % de las empresas que tienen políticas no hacen cumplir las reglas

• 1/3 de las empresas no tienen ningún proceso para identificar conocidas vulnerabilidades en el código abierto


Necesidades: gobernación

• La falta de gobernabilidad efectiva de código abierto expone a las organizaciones a riesgos legales y comerciales

• Para evitar estos riesgos organizaciones deben desarrollar políticas y establecer programas de gobierno para hacer cumplir estas políticas


Ejemplo falta de gobernación: seguridad y licencias


Necesidades: gobernación

• Es necesario para obtener soluciones para “escanear” productos con objetivo de determinar los licencias de componentes OSS y si no hay ninguna vulnerabilidades de seguridad

• La naturaleza de OSS hace este tipo de servicios posibles!

• No es fácil o posible con el software “cerrado”/comercial pero es igualmente necesario


Riesgos jurídicos en el uso de OSS


SOFTWARE OSS SOFTWARE DE PROPIEDADLa licencia de uso del software se entrega

GRATUITAMENTE (normalmente)Licenciado

POR UN PRECIO

El código fuente esPÚBLICO

Sólo se distribuye enCÓDIGO OBJETO

La asistencia técnica esGRATUITA Y SIN SLA (normalmente)

Asistencia TécnicaPrestada por UN PRECIO, CON O SIN SLA

NO HAY GARANTÍASque cubran los defectos o adaptabilidad

para un propósito concreto

NO hay GARANTÍA que cubran los defectos o adaptabilidad para un propósito concreto

EXCEPTO SI SE NEGOCIA

No existe protección contra INFRACCIONES DE DERECHOS DE

PROPIEDAD INTELECTUAL (excepto las legales)

Existe protección contra INFRACCIONES DE DERECHOS DE PROPIEDAD INTELECTUAL

negociadas (y las legales)

Igual que cualquier licencia de propiedad,Estamos obligados legalmente por los términos de la licencia OSS

3. Riesgos jurídicos en el uso de OSS


3. Compatibilibilidad y Contrato con el cliente

Different es licencias OS no tienen que ser siempre compatibles enter sí o con licencias propietarias (por ejemplo con Copyleft efecto) así que es necesario revisar su compatibilidad

Proceso de verificación de licencias:• ¿Uso externo o interno?

– Externo:- Revisar contrato con el cliente- Identificar el número de OSS y el tipo:

- Sin-copyleft- Limitado copyleft- Stricto copyleft

- Más de 1 OSS: proceso de compatibilidad- Registro/Inventario


Compatibilidad y contrato con el cliente

GPL v2

GPL v3

LGPL v2.1

LGPL v3

Apache 2.0

MIT Licens

e

3-clause BSD

License

CPL/EPL MS-PL

GPL v2 GPL v3

LGPL v2.1 LGPL v3

Apache 2.0 MIT

License


Si no cumplimos con los términos de la licencia OSS, pones a la empresa Y a sus Clientes en

importantes RIESGOS

Responsabilidad penalResponsabilidad civil contractual

Responsabilidad civil extracontractual

Consecuencias jurídicas por infracciones


Responsabilidad extracontractual / Responsabilidad civil

DE LOS CLIENTES DE TERCERAS PARTESDE LOS AUTORES DE OSS

Infracciones de derechos de autor

(resp. legal/ responsabilidad penal)

Incumplimiento Contractual

(No hay limitación de daños por

infracciones de IP)

Infracciones de licencias OSS (resp. contractual / responsabilidad civil)

Indemnizaciones por reclamaciones de terceros(Normalmente sin límite)

SE BUSCA AL

INFRACTOR

3. RIESGOS LEGALES … para el Proveedor

The information contained in this document is proprietary and confidential. It is for Capgemini internal purposes only. Do not circulate. © 2009 All rights reserved by Cap Gemini SA


Responsabilidad extracontractual(Responsabilidad Civil)

CLIENTE

TERCEROSAUTORES OSS

Infracciones de derechos de autor (Resp. legal &Responsabilidad penal)

Incumplimiento de Licencia OSS (Resp. contractual & responsabilidad civil)

3. RIESGOS LEGALES… para los clientes

The information contained in this document is proprietary and confidential. It is for Capgemini internal purposes only. Do not circulate. © 2009 All rights reserved by Cap Gemini SA

Responsabilidad extracontractual


3. Consecuencias jurídicas por infracciones

Civiles: Ley de Propiedad Intelectual• Cese actividad ilícita: suspensión explotación, prohibición de reanudarla, retirada de ejemplares ilícitos y su destrucción (excepto los adquiridos de buena fe para uso personal), inutilización y destrucción de moldes, negativos…, precinto de aparatos para impedir la comunicación. • Indemnización daños y perjuicios: a elección del perjudicado:

– Beneficio obtenido presumiblemente sin utilización ilícita– Remuneración que hubiera percibido de haber autorizado la explotación– Gastos investigación– Daño moral: sin necesidad de perjuicio económico

• Instar la publicación de la resolución a costa del demandado•Plazo: 5 años desde que el perjudicado pudo ejercitarla• Medidas cautelares: intervención y depósito de ingresos; suspensión actividad; secuestro ejemplares; embargo equipos, aparatos y materiales.• Medidas cautelares y suspensión servicios a los intermediarios


3. Consecuencias jurídicas por infracciones

Penales: Código Penal (art. 270 a 272 CP)• Reproducción, plagio, distribución, transformación o comunicación pública, total o parcial, con ánimo de lucro y en perjuicio de tercero, sin autorización del autor• Quien importe, exporte o almacene ejemplares sin autorización• Quien fabrique, ponga en circulación y tenga cualquier medio específicamente destinado a facilitar la supresión no autorizada o la neutralización de cualquier dispositivo técnico que se haya utilizado para proteger programas de ordenador• Pena:

– Prisión de 6 meses a 2 años y multa de 12 a 24 meses– Prisión de 1 a 4 años y multa de 12 a 24 meses e inhabilitación especial para

el ejercicio de la profesión durante un periodo de 2 a 5 años si:- El beneficio obtenido es de especial trascendencia- El daño causado es de especial gravedad- El culpable perteneciere a una organización o asociación con finalidad infractora- Utilización de menores de 18 años para cometer el delito

• Posibilidad de publicación de la sentencia condenatoria a costa del condenado, en un periódico oficial

• Posibilidad de extender la responsabilidad civil deriva de estos delitos relativas al cese de la actividad ilícita y a la indemnización de daños y perjuicios


3. Ejemplos de procesos judiciales

US:• Jackobsend v. Katxer, 2008: incumplimiento de los términos de la licencia OSS implica un incumplimiento de contrato e infraccion de derechos de autor. Acuedo $100K• Software Freedom Conservancy v. Best Buy, 2010: Busybox software bajo GPL demandó 14 compañías (Samsung, JVC...) por elu so de su OSS en los dispositivos electrónicos. Acuerdo confidencial con 13 compañías pero con 1 se condenó a $90K como daños punitivos y costas procesales y abogadso $47K

UK: Free Software Foundation Europe v. Home Hub: Una compañía de telecomunicaciones que vendió el dispositivo BT Home Hub utilizando OSS basado en un sistema operativo system (under GPL v2) sin distribuir el código fuente. BT cambió su política y faciilitó el código fuente.

France: Free, 2008: Un operador de telecomunicaciones usó 2 componentes OSS sin publicar el código fuente al distribuirlo (GNU/GPL). Los desarrolladores pidieron 1€ por cada distribución de Freebox. Acuerdo confidencial. Free actualiaó sus ToU informiando a los clientes y facilitand la lista de los OSS utilizados


4. Preguntas


¡¡¡ Gracias !!!



• Black Duck & North Bridge Survey 2015 & 2016: The Future of Open Sourcehttp://www.northbridge.com/2015-future-open-source-survey-resultshttps://www.blackducksoftware.com/2016-future-of-open-source

Referencias

http://www.northbridge.com/2015-future-open-source-survey-results



https://www.blackducksoftware.com/2016-future-of-open-source



Análisis de los aspectos legales de OSS (version 2017)

Technology

Transcript of Análisis de los aspectos legales de OSS (version 2017)