Корпорации массово воруют открытый код, чтобы вставлять его в коммерческое ПО

В статье The Verge от Патрика Уордла, бывшего сотрудника агентства нацбезопасности США и НАСА было рассказано, как ведущие корпорации используют чужой открытый код в своём программном обеспечении и никак при этом не контактирующие с его владельцем.

1662036093080.png

Автор доказал, что крупные корпорации, занимающиеся разработкой ПО, не гнушаются красть чужую интеллектуальную собственность в виде открытого исходно кода и интегрировать его в свой коммерческий софт.

Деятельность Уордла сопряжена с тем, что немалая часть написанного им программного кода доступна в интернете для загрузки. Как пишет The Verge, часть его наработок привлекла внимание как минимум трех компаний, которые теперь используют его без разрешения Уордла.

Обнаружив воровство своего кода, экс-хакер рассказал об этом 11 августа 2022 г. на конференции Black Hat Briefings, посвященной информационной безопасности. Своими наблюдениями он поделился с ИБ-экспертом из университета Джона Хопкинса (США), Томом Макгуайром (Tom McGuire).



Вдвоем они сумели доказать, что открытый исходный код Уордла действительно использовался в коммерческих продуктах, притом на протяжении нескольких лет. Авторы этого ПО не только не указали его в качестве соавтора, но также не обратились к нему за разрешением и не предложили компенсацию.

Редакции Spark также стало интересно, как обстоит дело с такими ситуациями на российском рынке. Мы обратились к Андрею Касалинскому, руководитель юридического отдела Simtech Development, компании по разработке интернет-магазинов и маркетплейсов за комментарием:

У Simtech большой опыт работы с корпорациями. При оформлении сделки такие клиенты, как правило, очень подробно прописывают требования к софту, порядок передачи прав на него, а также высокую ответственность исполнителя за нарушения прав третьих лиц при разработке кода. Крупные разработчики могут гарантировать «юридическую чистоту» кода.
И все же приведу 2 частых примера, когда у компании появляется «чужой» софт:
— Ошибка подрядчика. Предположим, компании нужен ИТ-продукт. Она обращается к программистам, а те, увы, оказались недобросовестными и использовали сторонние разработки. Правообладатель это выяснил и предъявил претензии.
— Ошибка сотрудников организации: компания разрабатывает программный код, делает это силами штатных специалистов. При этом кто-то из них использует «кусок» кода из открытых источников или «прихватив» с прошлого места работы.
В любом случае «воровство» кода — это ответственность разработчиков. Правда в случаях выше правильнее сказать — безответственность.
При разбирательствах часто выясняется: люди путают термин «открытый код» (open-source software) с понятием «свободное ПО» (free software). Последний даёт право изменять, распространять и свободно использовать код (хотя и могут быть ограничения). А первый только просмотр и изучение.

В целом, по мнению эксперта, сейчас российские разработчики все чаще задумываются о юридической чистоте создаваемых продуктов.

Причины следующие:
Клиенты налагают на программистов финансовые обязательства за нарушение прав третьих лиц (как физических, так и юридических).
Для получения налоговых льгот компании стремятся попасть в Реестр отечественного ПО, а это напрямую влечёт за собой проверку используемых компонентов.
При этом российские владельцы кода могут получить компенсацию за использование своих разработок третьими лицами. Например, компания 1С периодически взыскивает с «пиратов» такие выплаты. Но доказать это очень непросто.
Дело в том, что суд принимает решение на основании экспертизы, сравнивающей исходные коды правообладателя и нарушителя. И если «пострадавший» открыто демонстрирует свою разработку, то обманщик до последнего уклоняется. А если «ворованный» код ещё и хранится в облачном хранилище, то доступ в нему закрыт всем, кроме владельца. Изъять его нельзя.
Часто подобные ситуации разрешаются мирным путём, на досудебной стадии. Нарушитель кается: «заблуждался» в правомерности используемого ПО, готов купить лицензию. И конфликт считается исчерпанным.

По вопросу возможности отследить использование чужого кода, мы обратились к эксперту, заместителю технического директора Simtech Development Андрею Мягкову. По его мнению:

Отследить кражу можно, если в коде проекта попадется copyright другой компании. В Simtech, например, каждый файл дополнен вот таким текстом:/*************************************************************************** * * * © Simtech Development Ltd. * * * * This is commercial software, only users who have purchased a valid * * license and accept to the terms of the License Agreement can install * * and use this program. * ***************************************************************************/

Он говорит о том, что у кода есть правообладатель, и просто так его использовать нельзя, но это не гарантирует нам 100% защищенности.

Чтобы обезопаситься от краж, используют технологию минификации кода (создают сокращенную зашифрованную версию). Если она находится в открытом доступе, «пират» сможет её скопировать, но модифицировать за неимением скрытых элементов — вряд ли.

Для веб-проектов можно «вшивать» проверки в сам код. К примеру, злоумышленник создает сайт и для этого берёт нашу разработку. В какой-то момент код сработает: он отправит запрос на сервера компании и проверит наличие лицензии. Если она не куплена, код заблокируется или частично удалится.


В России есть государственный сервис для регистрации авторского права на разработку ПО (депонирование в «Роспатент»). Там можно заявить о себе как о правообладателе определённой программы и приложить исходный код. Существуют и коммерческие сервисы с аналогичным функционалом (N’ris или IREG),
— продолжает Андрей Касалинский.
 
Источник
https://spark.ru
Последнее редактирование:
Автор доказал, что крупные корпорации, занимающиеся разработкой ПО, не гнушаются красть чужую интеллектуальную собственность в виде открытого исходно кода и интегрировать его в свой коммерческий софт.
Да ладно? Мне кажется и без всяких исследований понятно, что тянут код из открытых источников и и спользуют его в коммерческих проектах. Как говорится: "главное уметь гуглить"
 
Последнее редактирование:
Назад
Верх Низ