IT SECURITY NETWORK NEWS je B2B komunitní web zaměřený na IT bezpečnost a související témata. #security #bezpečnost #ITSECNN

Specifika úschovy zdrojových kódů – software escrow

UPINSAFE software escrow úschova zdrojových kódů

Další ze série rozhovorů s Janem Bednářem, spolumajitelem společnosti Deponest a specialistou na úschovu dat z UPINSAFE, se zabývá specifiky úschovy digitálních dat – software escrow. 

V čem je software escrow – úschova zdrojových kódů – specifický a kdy je reálně využitelný? 

Tato otázka nesouvisí jen s úschovou zdrojových kódů, ale i s obecnou dostupností zdrojových kódů k informačním systémům a aplikacím. V mnoha případech jsou informační systémy, nebo i webové stránky, vytvářené na základě specifického zadání uživatele, dodávány již se zdrojovými kódy a úschova není nutná – přesto se nejedná o jednoduchý proces a vždy je nutné se dobře zamyslet, co vlastně máte k dispozici.

UPINSAFE Jan Bednář
Jan Bednář, specialista na software escrow, UPINSAFE

Jsou zdrojové kódy zásadního obchodního a bezpečnostního významu určené pro velké skupiny různých uživatelů, které vývojář zcela odmítá jakýmkoliv způsobem zpřístupnit a úschova takového kódu je z pohledu vývojáře vnímána jako nežádoucí. Typicky se jedná například o tzv. krabicový software velkých celosvětových dodavatelů softwaru a specificky ve státní správě a samosprávě, kde se dostupnost kódu řeší velmi složitě a individuálně. 

Na druhou stranu je dnes stále častější, že vývojář Vám jako uživateli spolu se svým krabicovým softwarem dodává pro definované situace (např. ukončení jeho činnosti) přístup ke zdrojovým kódům, které jsou spravovány nezávislým schovatelem – to jsou tzv. dvoustranné smlouvy o úschově ve prospěch skupiny uživatelů konkrétního softwaru.

Říkáte, že se nejedná o jednoduchý proces, proč? 

Důležitým tématem dnešních dnů, je i to, že v mnoha případech se uživatel zodpovědně zajímá o dostupnost zdrojových kódů, ale zároveň nemá stanovené žádné standardy ani metodiky pro převzetí a audit zdrojových kódů, textace smluv a licencí, verzování, archivaci a správu zdrojových kódů. Určitě se nejedná o nejsložitější téma, ale je lepší spolehnout se na již osvědčená řešení a využít v těchto otázkách i externí auditory a služby.

Jak je to s úschovou a open source – tedy software s otevřeným a veřejně dostupným zdrojovým kódem? 

UPINSAFE logoTo je zajímavá otázka. Určitě je velkým tématem bezpečnost informačních systémů, jejichž zdrojový kód je veřejně dostupný. Úschova open source řešení určitě není nutná – jde o to, jestli v rámci velmi složitých a významných systémů je vůbec možné pracovat s platformou open source a jestli je možné spolehnout se pouze na obecné principy fungování a licencování open source. Jako příklad bych uvedl, že i jednoduché stránky založené na populárním WordPressu, nebude uživatel schopen obnovit pouze na základě informace, že běží na WordPressu, bez znalosti a dokumentace použitých individuálních úprav a modulů – přitom není složité toto všechno si zdokumentovat a použít vhodné nástroje, které nabízíme pro úschovu a verzování těchto řešení.