Depozyt musi mieć ręce i nogi
CRN Polska rozmawia z Michałem Zborowskim, dyrektorem zarządzającym Software Escrow Management, o tym, na czym polega profesjonalny depozyt kodu źródłowego, kto z niego korzysta i co można znaleźć… w szufladzie pana Józka.
CRN Kto i po co
miałby deponować kod źródłowy oprogramowania?
Michał
Zborowski Z jednej strony jego nabywca, na wypadek bankructwa
producenta systemu, śmierci kluczowego programisty lub świadczenia przez
producenta usług na mało satysfakcjonującym poziomie. Z drugiej
– producent oprogramowania. Depozyt kodu chroni go między innymi przed
wyciekiem kluczowych informacji o zastosowanych rozwiązaniach.
CRN Dlaczego producent oprogramowania miałby podpadać
klientowi i nie wywiązywać się do końca z umowy?
Michał
Zborowski Wynika to na przykład z cyklu życia produktu.
W pewnej chwili producentowi może się przestać opłacać rozwijać
oprogramowanie na warunkach zapisanych w umowie. Może również chcieć
wprowadzić system o nowej funkcjonalności, z zastosowaniem najnowocześniejszych
rozwiązań sprzętowych. Z kolei z punktu widzenia klienta przejście na
nowy software jest długim i złożonym procesem. Nabywca musi zachować
ciągłość swojego biznesu. Nawet jeśli dostawcy oprogramowania już za bardzo nie
opłaca się dalej prowadzić serwisu tego produktu. Zabezpieczeniem dla
kupującego program w takim przypadku jest właśnie depozyt jego kodu.
CRN Twierdzicie, że jako pierwsi w Polsce świadczycie
usługę depozytu. Czy rzeczywiście wcześniej nikomu nie przyszło to do głowy?
Michał
Zborowski Jako pierwsi w Polsce świadczymy ją w sposób
profesjonalny. To, co obecnie funkcjonuje na rynku, jest paradepozytem, który
zapewnia parabezpieczeństwo obu stronom umowy. Firmy deponują kody
w skrytkach bankowych lub notarialnych. Są one przechowywane na nośnikach
słabej jakości, niezabezpieczonych. Poza tym ich zawartość (ów kod źródłowy)
nie jest zweryfikowana – sprawdzona pod kątem użyteczności po zwolnieniu
nośnika z depozytu. Z naszej analizy wynika, że brakuje odpowiedniej obsługi
prawnej, a więc umów, które jasno wskazywałyby na to, kiedy nabywca może
bezpiecznie wyjąć kod z depozytu i go wykorzystać. A zatem
pożytek z takiego paradepozytu i samego kodu – w razie
gdyby coś się stało – jest niewielki. Istnieje też zwyczaj przechowywania
kodu źródłowego u osoby, do której obie strony mają zaufanie. Roboczo taki
paradepozyt nazywamy „szufladą pana Józka”.
CRN Jeśli obu stronom to odpowiada i panu Józkowi
także, to czemu nie…
Michał
Zborowski Oczywiście! Jednak w dobie kryzysu rośnie świadomość
i nabywcy software’u coraz częściej są zainteresowani weryfikacją kodu
źródłowego. Po prostu chcą sprawdzić, czy jest on kompletny, dobrze
udokumentowany, ma zdefiniowane biblioteki, opisane środowisko kompilacyjne
itd. Dopiero spełnienie tych warunków sprawia, że kod w krytycznym
momencie będzie użyteczny. Teraz firmy często, jeśli w ogóle coś deponują,
to do końca nie wiedzą co. Rozmawiamy właśnie o współpracy z firmą,
która wzięła płytkę z paradepozytu i ma teraz na głowie znaną
kancelarię prawną wynajętą przez producenta oprogramowania. Na dodatek okazało
się, że na nośniku został utrwalony kod źródłowy starszej wersji oprogramowania
niż ostatecznie dostarczona. Uważamy, że dużym problemem jest precyzyjne
określenie warunków przejęcia kodu źródłowego – momentu, kiedy nabywca
oprogramowania może to zrobić. To są sytuacje sporne, niełatwe i nie
zawsze jednoznaczne dla obu stron.
CRN Co jeszcze sprawdzacie?
Michał
Zborowski Na zlecenie klienta sprawdzamy jakość kodu źródłowego, czy
jest dobrze i czytelnie napisany, czy nie ma nieudokumentowanej
funkcjonalności. Pilnujemy też, żeby sama umowa depozytu była tak zbudowana,
aby nie było wątpliwości, kiedy nabywcy oprogramowania wolno sięgnąć po kod.
W sytuacji spornej potrzebny jest niezależny depozytariusz, który
stwierdzi, że określone warunki zaistniały i klient może wziąć płytkę
z depozytu. Z kolei jeśli do producenta wejdzie syndyk masy
upadłościowej, to sensownie zdeponowane kody na pewno trafią do klienta.
A jeśli wcześniej deponent skorzystał z usługi weryfikacji
– kody te będą użyteczne. Depozyt musi mieć ręce i nogi.
CRN Jak to wygląda od strony technicznej?
Michał
Zborowski Usługę depozytu oparliśmy m.in. na powszechnie znanych
i poważanych usługach skrytki bankowej oraz depozytu notarialnego. Jednak
nasz pomysł na korzystanie z usług tych instytucji zaufania publicznego
różni się diametralnie od idei wcześniej wspomnianych rozwiązań
paradepozytowych. Ponadto używamy specjalnych nośników, na które producent daje
ponad 100 lat gwarancji. Mamy też techniczne możliwości odświeżania
zabezpieczonej treści na nośnikach – wewnętrzne procedury rearchiwizacji.
To gwarantuje, że po upływie kilkunastu, a nawet kilkudziesięciu lat
przechowywania kodu źródłowego będzie on tak czytelny jak w momencie jego
deponowania.
CRN Czy wśród waszych klientów są tacy, którzy sparzyli się
już na tym, co nazywacie paradepozytem, lub na braku takiego zabezpieczenia
w jakiejkolwiek formie?
Michał
Zborowski Naszym klientem jest duży międzynarodowy koncern, który
w Polsce korzystał między innymi z usług dwuosobowej firmy.
Oprogramowanie tego dewelopera z czasem coraz więcej znaczyło
w głównym procesie wytwórczym klienta. Tak się jednak stało, że twórca
oprogramowania zginął w wypadku samochodowym. Druga osoba nie była
programistą, zajmowała się administrowaniem i księgowością spółki.
Deweloper sprzedał w końcu kod integratorowi, z którym duży producent
nie porozumiał się co do cen za usługę utrzymaniową. Po bolesnych przejściach
nasz klient zdecydował się napisać oprogramowanie od nowa. Kiedy zapukaliśmy do
drzwi tej firmy, nie musieliśmy ich długo przekonywać do korzystania
z naszych usług.
CRN Ale firmy nie szukają depozytu wyłącznie z powodu
zdarzeń losowych…
Michał
Zborowski Wiele z nich jest po prostu zainteresowanych
depozytem jako formą obniżenia ryzyka biznesowego towarzyszącego transakcji
nabycia oprogramowania. Wśród nich są instytucje z sektora bankowego
i finansów. Dlaczego mówię o bankach? Nie sposób nie wspomnieć tutaj
o opublikowanej przez Komisję Nadzoru Finansowego w styczniu
bieżącego roku Rekomendacji D, w której KNF wyraźnie sugeruje stosowanie
usługi depozytu kodu źródłowego w przypadku zawierania umów
z zewnętrznymi dostawcami usług programistycznych.
CRN A jak reagują na was firmy, które do tej pory
w ogóle nie myślały o depozycie?
Michał
Zborowski Rozmawialiśmy ostatnio z dużą spółką akcyjną ze
Szczecina. Przyznali, że w ogóle nie brali pod uwagę tego, co się stanie,
jak im oprogramowanie „padnie”, a producenta nie będzie na rynku.
Stwierdzili, że muszą przemyśleć to, co usłyszeli na spotkaniu z nami. Tuż
po spotkaniu dyrektor ds. bezpieczeństwa wyznał, że muszą jak najszybciej
zmienić swoją politykę bezpieczeństwa tak, by uwzględniała aspekt
zabezpieczenia kodu źródłowego. Widzimy szansę na współpracę.
CRN Zgaduję, że bardziej na depozycie kodu źródłowego zależy
kupującym oprogramowanie niż jego twórcom…
Michał
Zborowski Z naszego doświadczenia wynika, że obie strony są
jednakowo zainteresowane. Powstaje tutaj oczywiście pewien konflikt potrzeb.
Nabywcy chcą weryfikacji i dobrej – od strony prawnej – umowy
depozytu, która rzeczywiście zabezpiecza ich na wypadek bankructwa czy
niewywiązywania się z umów utrzymaniowych przez producenta. Wytwórcy chcą
depozytu z innych powodów. Na przykład są małą firmą, mają genialne
rozwiązania i jakiś duży klient chce z nimi współpracować. Ale ten
ostatni boi się, że spółka z kapitałem założycielskim 5 tys. zł
zbankrutuje, że nagle tym genialnym programistom, mówiąc kolokwialnie, odechce
się dalszej pracy. Mając świadomość takiej percepcji dużych zleceniodawców,
mniejsi deweloperzy są zainteresowani depozytem. Mogą wtedy powiedzieć: mam
profesjonalnie zabezpieczony kod źródłowy. Wiedzą też, że jesteśmy trzecim
okiem – badając kod, zwracamy uwagę na ewentualne niedociągnięcia.
CRN Od czego zależą ceny usług?
Michał
Zborowski Od potrzeb klienta, od tego, w jakim stopniu będzie
chciał skorzystać z naszej oferty.
CRN Realna konkurencja?
Michał
Zborowski Najprawdopodobniej pojawią się firmy, które, podobnie jak
my, będą profesjonalnie świadczyć tę usługę. Ale tak naprawdę nie wiemy, jak
zakotwiczy się depozyt kodu na polskim rynku IT. Może klienci nie będą chcieli
zmienić swoich nawyków i pozostaną przy paradepozytach? Dopiero gdy
naturalne stanie się zachowanie: „kupujemy oprogramowanie – bierzemy
depozytariusza”, będziemy mogli zacząć mówić o rynku depozytowym
i o dynamice jego rozwoju. Na razie wszystko dzieje się powoli.
CRN Co się stanie, jeśli upadniecie?
Michał
Zborowski Istnieją procedury wewnętrzne, które w razie naszego
upadku zabezpieczają wszystkie strony. Nasze wejście na rynek zostało
przemyślane i poprzedzone głęboką analizą. Ostatecznie nasi klienci
wiedzą, że najlepszym sposobem, żeby depozytariusz nie upadł, jest… zapłacenie
faktury na czas.