DÜŞÜK MALİYETLİ GÖRÜNÜMÜNE KARŞIN ŞİRKETLERE ÇOK DAHA PAHALIYA MAL OLABİLİR.
İYİ PLANLAMA, KONTROLLÜ SÜREÇ YÖNETİMİ, İNOVASYON VE HUKUK EKİPLERİNİN BİRLİKTE ÇALIŞMASIYLA RİSKİ MİNİMİZE ETMEK MÜMKÜN.
Bugün birçok teknoloji şirketi ve özellikle de yeni girişimler (yaygın adıyla, start-up’lar) tarafından inovasyon süreçlerini hızlandırmak, pazarda daha hızlı etkin rol oynayabilmek ve ürün geliştirme maliyetlerini düşürmek gibi pek çok sebeple açık kaynak kodlarının kullanıldığını görmekteyiz.
Gerçekten de bu kodlar, sağladıkları düşük maliyet ve taraflar (lisansör ile lisansiye) arasındaki uzun ve (genelde) maliyetli lisans müzakerelerinden kaçınabilmek gibi imkanlar dolayısıyla, özellikle proje geliştirme süreçlerinin başında, çok avantajlı görünmektedir.
Ancak yeterli önlemlerin alınmaması ve sürecin uygun şekilde yönetilmemesi halinde, bu çok avantajlı görünen imkan; ciddi ticari riskler, fikri mülkiyet ihlalleri ile yüksek bedelli ihtilaflar ve hatta yazılımın kamuya açıklanmasının gündeme gelmesi gibi sonuçlar doğurabilmektedir. Haliyle de, başlangıçta düşük maliyetli görünen açık kaynak kodları, şirketlere çok daha pahalıya mal olabilmektedir.
Bu konuya biraz daha sayısal bakmak gerekirse, alanında popüler çalışmalardan birini ele alabiliriz: Open Source Security and Risk Analysis (“OSSRA”). (Burada bir parantez ile değinmek gerekir ki; bu çalışma kimi inovasyon ekiplerinin radarından çıkmazken, aksi yaklaşımlar da mevcut; her zaman olduğu gibi, herkesin kendi haklı gerekçesi var.)
2025 OSSRA raporu ile paylaşıldığı üzere; araştırma kapsamındaki verilerin analizi sonucunda aşağıdaki bulgulara ulaşılmıştır:
- %86. Risk değerlendirmesi yapılan kod tabanlarının %86’sının savunmasız açık kaynak kod içerdiği,
- %81. Risk değerlendirmesi yapılan kod tabanlarının %81’inin yüksek veya kritik riskli güvenlik açıkları içerdiği,
- %56. (Değerlendirmeye alınan) Tüm kod tabanlarının %56’sında lisans ihtilafı olduğu,
- %91. (Değerlendirmeye alınan) Tüm kod tabanlarının %91’inin güncel olmayan açık kaynak kod bileşenleri içerdiği,
- %86. (Değerlendirmeye alınan) Kod tabanlarının %86’sının en az bir güvenlik açığı içerdiği,
- %81. (Değerlendirmeye alınan) Kod tabanlarının %81’i yüksek veya kritik riskli güvenlik açıkları içerdiği,
- 3.548. Tek bir kod tabanında bulunan maksimum benzersiz güvenlik açığı sayısının 3.548 olduğu,
- 154. Kod tabanı başına ortalama benzersiz güvenlik açığı sayısının 154 olduğu.
Genellikle teknik veri olarak değerlendirilen bu hususlar, aslında sadece teknik sorunlar değil. Bunlar çok büyük oranda fikri hak ve sözleşme yükümlülüğünün ihlali ile temel mevzuata aykırılık olarak değerlendirilebilecek risklere işaret etmektedir.
Kodlardan kaynaklı uyuşmazlıkların sektörel dağılımı ise 2025 OSSRA raporunda şu şekilde gösterilmiş:
EdTech 71%, Big Data, AI, BI, Machine Learning 71%, Finansal Hizmetler ve FinTech 66%, İnternet ve Mobil Uygulamalar 64%, Computer Hardware and Semiconductors 63%, Havacılık, Uzay, Otomotiv, Ulaşım, Lojistik 61%, Siber Güvenlik %58, Perakende ve E-Ticaret %57, Pazarlama Teknolojisi %56, Enterprise Software/SaaS 54%, Üretim, Sanayi, Robotics 53%, Virtual Reality ve Oyun, Eğlence, Medya 51%, Internet and Software Infrastructure 50%, Internet of Things 48%, Sağlık, Sağlık Teknolojileri ve Life Sciences 47%, Energi and Clean Tech 37%.
Bu değerlendirmeye göre, kodlardan kaynaklı uyuşmazlık riskleri sadece salt teknoloji şirketleri üzerinde toplanmamıştır. Dolayısıyla “teknoloji şirketi değilsek, risk taşımıyoruz” şeklinde bir bakış açısı ile ilerlemek mümkün değildir ve zaten, bugün belirli bir kriterin üstünde faaliyet gösteren hemen her şirketin teknolojiye değdiğinin kabulü anlamlı olacaktır.
-Gözlemlerime göre- açık kaynak kullanımında yapılan en sık yapılan hatalardan bir tanesi; ilgili lisans metinlerinin “bağlayıcı/ yükümlülük doğurucu” bir belge olarak dikkate alınmamasıdır. Tabii ki istisnalar olmakla birlikte, burada çoğunlukla bir sözleşme ilişkisi içine girilmektedir ve haliyle de; açık kaynak kodu kullanımı bakımından kullanıcıya bir hak verilirken, karşılığında bazı yükümlülükler de söz konusu olmaktadır.
Bu yükümlülüklerin yerine getirilmemesi halinde ise, hukuki ve maddi sonuçlarının yanı sıra cezai sonuçları da olan telif hakkı ihlali, sözleşmeye aykırılık, mevzuata aykırılık meydana gelebilmekte ve sonuç olarak;
- ticari sırların ifşası,
- farkında olunmadan şirkete ait bir yazılımı ve hatta -niteliğine göre- tüm projenin açık lisans şeklinde yorumlanması,
- tazminat talepleri
başta, ancak bunlarla sınırlı olmaksızın, pek çok ticari risk söz konusu olabilmektedir.
Kanaatimce bu karmaşık yapıda riskleri yönetebilmenin en iyi yolu ise; teknik ekipler ile hukuk, proje ekibi ve yönetim/ süreç kontrol ekiplerinin entegre şekilde ilerlemesi ve sürekli iş birliği kurmasıdır. Zira açık kaynak kodu kullanımı bugünün teknoloji ekosisteminde vazgeçilmez gibi görünmektedir. Ancak maliyeti düşük ve kolaylığı çok görünen bu kodların kullanımında da dikkat edilmesi gereken kurallar olduğu ve bedelinin çok büyük olabileceği hatırda tutulmalıdır.
Büşra BIÇAKCI
Temmuz 2025