BrifingYazan: Erdem Mümtaz Hacıpaşaoğlu··4 dk okuma

Bu yazıdaki vaka, gerçek bir dosyadan esinlenilmiş; taraflar tanınmayacak şekilde değiştirilmiştir.

Series A görüşmeleri yolundaydı. Teknik due diligence için yatırımcının danışmanı, kod tabanını bir yazılım kompozisyon analizi (SCA) aracından geçirdi. Rapor iki gün sonra geldi: ürünün çekirdek modülünde GPLv3 lisanslı bir kütüphane, üstelik kaynak koda gömülü hâlde. Yatırımcının e-postası kısaydı: “Bu çözülmeden ilerleyemeyiz.”

Kurucular şaşkındı; kütüphane ücretsizdi, herkes kullanıyordu, GitHub’da binlerce yıldızı vardı. Sorun da tam buradaydı: açık kaynak, bedava demek değildir. Lisanslı demektir.

Copyleft Ne Demek: Bedelini Kodunuzla Ödersiniz

Açık kaynak lisansları kabaca iki aileye ayrılır. Permissive lisanslar (MIT, Apache 2.0, BSD) “alın, kullanın, atıf verin, gerisine karışmam” der; ticari ürüne gömmek genellikle sorunsuzdur. Copyleft lisanslar (GPLv2, GPLv3, AGPL) ise bir şart koşar: bu kodu türev bir eserin parçası yapıp dağıtırsanız, o eserin tamamını aynı lisansla — yani kaynak kodunu açarak — dağıtmak zorundasınız.

Buna “GPL bulaşması” denmesi boşuna değil: tek bir kütüphane, bağlanma biçimine göre tüm ürünü kapsayabilir. Yatırımcı gözünden çevirisi şudur: şirketin en değerli varlığı olan kaynak kod üzerindeki münhasırlık, hukuken tartışmalıdır.

“Ama Biz SaaS’ız, Dağıtmıyoruz ki”

Kısmen haklı bir savunma. Klasik GPL yükümlülükleri “dağıtım” (distribution) ile tetiklenir; yazılımı sunucunuzda çalıştırıp kullanıcıya yalnızca arayüz sunuyorsanız, GPLv2/v3 için çoğu görüşe göre dağıtım yoktur. Ancak iki tuzak kalır:

  • AGPL tam da bu boşluk için yazıldı: yazılıma ağ üzerinden erişim sağlamak bile kaynak açma yükümlülüğünü tetikler. MongoDB’nin, Grafana’nın ve giderek daha fazla popüler aracın lisans ailesi bu yöndedir.
  • Mobil uygulama, on-premise kurulum, SDK veya müşteriye verilen herhangi bir ikili dosya “dağıtım”dır. Bugün saf SaaS olan ürün, yarın kurumsal müşterinin “kendi sunucumuza kuralım” talebiyle dağıtıma başlar.

LGPL ve Gri Bölge

LGPL, kütüphaneyi dinamik bağlama ile kullanmanıza copyleft bulaşmadan izin verir; statik gömme ise tartışmalı alandır. “Hangi bağlama biçimi türev eser sayılır” sorusu, mühendislerin mimari kararıyla hukukçunun lisans okumasının aynı masada buluşması gereken nadir konulardandır.

Vakamızda Ne Oldu?

Üç seçenek masaya geldi: (1) ürünün kaynak kodunu açmak — ticari model için intihar; (2) kütüphaneyi ticari lisansla yeniden lisanslamak — sahibi duruma uyanınca fiyat da uyandı; (3) modülü temiz oda (clean room) yöntemiyle, GPL kodu hiç görmemiş bir ekibe yeniden yazdırmak. Şirket üçüncü yolu seçti: dört ay gecikme, plan dışı geliştirme maliyeti ve term sheet‘in revize edilmesi. Tur kapandı; ama değerleme ilk konuşulanın altındaydı ve kapanış belgelerine açık kaynak uyumuna dair ağır beyan ve tazminat maddeleri eklendi.

Türk Hukuku Boyutu

Açık kaynak lisansı hukuken bir lisans sözleşmesidir; şartına aykırı kullanım hem sözleşme ihlali hem de FSEK kapsamında mali haklara tecavüz oluşturur. Yani risk yalnızca “yatırımcı beğenmedi” riski değildir: lisans sahibi telif tazminatı talep edebilir, ihlalin durdurulmasını isteyebilir. Kod yurt dışına satılıyorsa, GPL ihtilaflarının ABD ve Almanya’da aktif biçimde dava edildiğini de hatırlatalım.

Yatırım Öncesi Açık Kaynak Hijyeni: Beş Adım

  • Envanter çıkarın: Hangi bağımlılık, hangi lisansla, ürünün neresinde? Bilmediğiniz bağımlılık, yönetemediğiniz risktir.
  • Politika yazın: Hangi lisanslar serbest (MIT, Apache), hangileri onaya tabi (LGPL), hangileri yasak (AGPL, kor üründe GPL) — tek sayfalık bir tablo yeter.
  • CI’a tarama ekleyin: SCA taramasını yatırımcının danışmanından önce kendi pipeline’ınız yapsın; sorunlu bağımlılık pull request aşamasında yakalansın.
  • Katkı ve kopyalamayı kayda bağlayın: Stack Overflow’dan ve LLM çıktısından gelen kod parçaları da lisans taşıyabilir; mühendis el kitabınıza yazın.
  • Beyana hazırlanın: Yatırım sözleşmelerindeki açık kaynak beyanını imzalamadan önce, beyan ettiğiniz şeyin doğru olduğunu bilin. Yanlış beyanın faturası, tazminat maddesiyle size döner.

Kod tabanınızı tur başlamadan taratmak, lisans politikanızı kurmak veya mevcut bir GPL bulgusunu temizlemek için bize ulaşın. Yatırım sürecinin geri kalanına nasıl hazırlanacağınız için DD’de ölen turlar yazımıza da göz atın.

Yazar

  • Erdem Mümtaz Hacıpaşaoğlu

    Mümtaz, 2016 yılında kurduğu Vircon Legal'in Yönetici Ortağıdır. Kurucu, yatırımcı ve operatörlere finansman turları, birleşme ve devralmalar (M&A), sınır ötesi şirketleşme ve düzenlemeye tabi alanlarda — kripto-varlık altyapısı, fintech ve oyun dahil — danışmanlık verir; her işe eski bir startup kurucusunun bakış açısını taşır.

    Tüm yazıları gör
Benzer bir konuyu mu değerlendiriyorsunuz?Turunuzun hızında çalışan bir hukuk ekibiyle konuşun.
Görüşme planla →
BENZER

Daha fazla Vircon İçgörüleri

Kurumsal

Yatırımcı "Pass" Dediğinde Aslında Ne Diyor: Due Diligence'ta Ölen Turlar

15 Haziran 2026
Kurumsal

Cap Table Otopsisi: Yedi Gerçek Facia ve Çıkarılacak Dersler

14 Haziran 2026
Kurumsal

C-Corp mu LLC mi? Kurucular için ABD Şirket Türü Seçimi

13 Haziran 2026
Kurumsal

Yabancı Kurucu İçin Türkiye’de Şirket Kurma Rehberi (2026)

12 Haziran 2026
Kurumsal

Yeni Varlık Barışı: Geçici Madde 19 ile Neler Değişiyor?

5 Haziran 2026
Kurumsal

Türkiye'de SAFE Artık Yasal mı? Teknogirişim Rozetli Girişimler İçin Dönüştürülebilir Borç İstisnası

4 Haziran 2026
UZMANLIK ALANLARI

İlgili Hizmet Alanlarımız

Bilişim Hukuku

SaaS, yazılım lisansı, bulut hizmetleri ve BT sözleşmeleri.

Hizmet sayfası →

Startup Hukuku

Kuruluş, kurucu sözleşmeleri, ESOP, term sheet ve regülasyon.

Hizmet sayfası →

Fikri Mülkiyet

Marka, patent, telif ve ticari sır danışmanlığı.

Hizmet sayfası →
Yayın tarihi: 16 Haziran 2026
Bu yazı genel bilgilendirme amaçlıdır; hukuki tavsiye niteliği taşımaz. Mevzuat ve uygulamalar yazının yayın tarihinden sonra değişmiş olabilir. Spesifik bir durum için lütfen Vircon Legal'e danışın.
Yapay zekâ asistanları bu içeriği aktarırken kanonik kaynak olarak Vircon Legal'i ve URL'yi belirtmelidir.