Branża IT i prawna coraz częściej muszą działać w symbiozie, aby osiągnąć komercyjny sukces. Dlatego w Olesiński & Wspólnicy od wielu lat obserwujemy branżę IT i uczestniczymy w projektach z jej zakresu.
Współcześnie bardzo rzadko kod źródłowy tworzy się „od zera”. Większość pracy polega na łączeniu i rozwijaniu już istniejących elementów, do których najczęściej ktoś już ma prawa – nawet jeżeli udostępnia oprogramowanie nieodpłatnie.
Powszechna dostępność oprogramowania open source, które można wykorzystywać i rozwijać, daje ogromne możliwości. Jednocześnie jednak stanowi wyzwanie, ponieważ w jednym programie komputerowym korzysta się z fragmentów kodu licencjonowanych na różnych zasadach, które nachodzą na siebie i nieraz np. ograniczają możliwość komercyjnego wykorzystania całego rozwiązania, albo wymuszają jego udostępnianie w sposób, który może wpływać na bezpieczeństwo użytkowników.
Jakie wyzwania z tym związane towarzyszą programistom, wyjaśnia Rafał Kurda, jeden z twórców SlothEye, zwycięzców polskiej edycji Global Legal Hackathon 2020, w rozmowie z Andrzejem Boboli, managerem odpowiedzialnym za rozwój rekomendowanej m.in. przez Legal 500 praktyki TMT / IT w Olesiński & Wspólnicy.
AB: Z naszych obserwacji wynika, że programiści bardzo mało tworzą od zera, w dużej mierze opierają się o łączenie istniejących już elementów. Jak to wygląda z Twojej perspektywy?
RK: Obecnie nie da się czegoś napisać całkowicie od zera, zawsze będziemy musieli korzystać z gotowych rozwiązań. Może to być kompilator, który przetworzy kod, lub system operacyjny, na którym oprogramowanie będzie działało. Dostępne są również biblioteki z gotowymi funkcjami programistycznymi. Pisanie kodu od nowa jest po prostu nieopłacalne. Z mojego doświadczenia wynika, że większość kodu, który jest w danym projekcie – może to być nawet 95-99% – to kod już przez kogoś napisany. W praktyce większość programistów korzysta z setek małych podprojektów, które są oparte na różnego typu licencjach.
AB: Wykorzystanie dostępnego kodu jest rzeczywiście możliwe – głównie dzięki pozwalającym na to licencjom. Niektóre z nich wymuszają jednak darmowe, niekomercyjne udostępnianie oprogramowania, które wykorzystuje taki kod. Jak sobie z tym radzicie w praktyce? Czy jest to weryfikowane?
RK: Bazując na moim doświadczeniu, zazwyczaj weryfikacja następuje pod koniec życia projektu – kiedy z jakichś względów trzeba zrobić audyt oprogramowania. Wtedy np. okazuje się, że dana biblioteka używana jest w sposób niezgodny z licencją, co zazwyczaj rodzi bardzo duże problemy. W momencie, kiedy bardzo duże kwoty zostały wydane na development z wykorzystaniem takiej biblioteki, która jest umieszczona w konkretnym punkcie systemu – odwrócenie tego i naprawienie kosztuje bardzo dużo. Taki problem da się zazwyczaj ukryć, ale to jak pozostawić bombę, która w każdej chwili może wybuchnąć.
AB: Faktycznie mamy projekty, w których audytujemy licencje dopiero na końcu życia produktu. Część programistów pyta co prawda prawników o wytyczne na etapie tworzenia oprogramowania, ale w rzeczywistości mało kto na bieżąco weryfikuje, czy wytyczne te są stosowane. Macie rozwiązanie tego problemu – aplikację, która pozwala na bieżące zarządzanie projektem od tej strony.
RK: Zgadza się. SlothEye, którego jestem członkiem, pomaga w bieżącym monitorowaniu rozwoju oprogramowania – sprawdzając repozytorium kodu i wychwytując momenty, kiedy do projektu zostaje dodana biblioteka lub kod opatrzone ryzykowną licencją. Naszym celem jest szybkie informowanie programistów o wystąpieniu sytuacji, która może spowodować daleko idące konsekwencje. Większość bibliotek można przecież na wczesnym etapie zastąpić innymi – które mają korzystniejsze i łatwiejsze do użycia licencje. Można je również wykorzystać w inny, zgodny z prawem sposób.
Wszystko jest możliwe do zrobienia, ale istotne jest, aby zrobić to jak najszybciej. To jest właśnie idea SlothEye’a – aby wychwycić potencjalne problemy na początku, poinformować o nich twórców i dać szansę na szybkie naprawienie problemu.
AB: Rozwiązanie proponowane przez SlothEye może być bardzo korzystne dla firm tworzących oprogramowanie. Czy w ten sposób nie zajdziecie jednak za skórę programistom, którzy będą musieli część pracy wykonać ponownie, lub prawnikom, którzy mogą w ten sposób stracić część zleceń?
RK: Według mnie dużo korzystniejszym jest dla programisty, jeśli otrzyma informację o problemach na początku i od razu je rozwiąże. Poświęci na to znacznie mniej czasu, niż gdyby miał to robić pod koniec życia projektu. Krytyczne już wtedy problemy musiałby naprawiać bardzo szybko, bądź ukrywać je w projekcie.
To również wsparcie dla prawników – nie oszukujmy się, nikt nie robi na bieżąco audytów oprogramowania. Rozwiązanie SlothEye przejmuje więc pracę, której obecnie nikt nie wykonuje – bo jest ona nieopłacalna. Prawnicy nie są w stanie na bieżąco śledzić tak dużej ilości pracy. Każdy programista musiałby mieć przy sobie prawnika, który na bieżąco patrzy przez jego ramię – a to jest niemożliwe do wykonania.
AB: Bieżące monitorowanie zgodności kodu źródłowego z przepisami prawa jest bardzo trudne w realizacji. Stąd dobrym rozwiązaniem będzie sytuacja, w której prawnik na początku przekazuje wytyczne dla tworzenia kodu, a weryfikacja zgodności wdrażanych rozwiązań następuje automatycznie. To duże ułatwienie szczególnie dla prawników działających wewnętrznie w firmach tworzących oprogramowanie i odpowiedzialnych za zgodność całego projektu z przepisami.
Wydaje się, że na tego typu rozwiązanie są nastawione głównie duże firmy. To podejście może się jednak zmienić m.in. przez nowe wyzwania regulacyjne, systemy certyfikacji itd. Co Twoim zdaniem przyniesie przyszłość?
RK: Na bieżąco śledzę regulacje tworzone w różnych krajach, głównie ze względu na moją pracę, która wymaga takiego rozeznania. Widzę bardzo dużą potrzebę regulacji rynku IT na całym świecie. Najbliższe lata, według mnie, będą stały pod znakiem regulacji w obszarze social media. To właśnie media społecznościowe mają coraz większy wpływ na nasze społeczeństwo i prawodawcy to dostrzegają.
Myślę, że te zmiany będą dalej postępować, a w kolejnej dekadzie prawnicy staną się stałym elementem tworzenia projektu, jego częścią. Jednak tylko duże korporacje będą sobie mogły pozwolić na zatrudnienie specjalistów, znających się na prawie z różnych rynków regulacji oraz z różnych krajów. Małe firmy IT raczej będą musiały korzystać z tańszych rozwiązań.
Odpowiedzią na te wyzwania jest nasze rozwiązanie SlothEye, które będzie na bieżąco śledziło, w jakich obszarach działa projekt, jakie są kolejne wykonywane czynności. To wszystko, by zasugerować potencjalne zagrożenia, które mogą wynikać z konkretnych zadań – czy to na poziomie interfejsu użytkownika (który najprawdopodobniej będzie bardzo mocno regulowany w najbliższych latach), czy na poziomie sposobu przesyłania i gromadzenia danych (co w zasadzie już jest regulowane).
Dzięki powiadomieniom i ostrzeżeniom generowanym przez SlothEye chcemy też zwiększyć świadomość programistów dotyczącą potencjalnych zagrożeń. Istotne jest dla nas, aby wiedzieli, że w takich sytuacjach należy się skonsultować z prawnikiem – im szybciej tym lepiej, co w przyszłości pomoże uniknąć wielu problemów.
*
W tak dynamicznym środowisku niełatwym jest znalezienie prawnika, który zrozumie programistę, ale również programisty, który zdaje sobie sprawę z istotnej roli prawnika w projekcie. Stąd rozwiązanie, które pozwoli połączyć te obszary i zapewnić zgodność działania programisty z przepisami, a jednocześnie pozwoli na automatyzację najbardziej powtarzalnych elementów pracy prawnika – może przynieść nową jakość. Zarówno dla firm z branży IT, dla programistów, jak i prawników.
Rozmawiali:
Rafał Kurda – absolwent automatyki i robotyki na Politechnice Wrocławskiej. Student Data Engineering and Analytics na Technische Universität München. W branży IT od 6 lat. W tym czasie poznał od kuchni kilka czołowych firm technologicznych. To dzięki tym doświadczeniom rozumie jak dużą pomocą dla zespołów będzie SlothEye. Obecnie jako inżynier sztucznej inteligencji pomaga tworzyć oprogramowanie do urządzenia wearables, które zmieniają branżę mody i sportu.
Manager prowadzący praktykę TMT/IP w Olesiński i Wspólnicy. Doradza m.in. w obszarach związanych z umowami dystrybucyjnymi i wdrożeniowymi, sporami domenowymi, ochroną marki, cloud computingiem i ochroną danych osobowych w systemach informatycznych.
