Kaynak kod emaneti nedir?
Kaynak kod emaneti (source code escrow), bir yazılım vendor’ının kaynak kodu bağımsız bir emanet ajanına (örn. Iron Mountain, NCC Group, Codekeeper) yatırdığı üçlü taraf düzenlemesidir; vendor yazılımı destekleyemez hale gelirse müşteriyi (lisans alanı) koruyan serbest bırakma koşullarıyla. Emanet anlaşmaları tipik olarak kaynak kodu tanımlı tetikleyicilerde — vendor iflası, destek yükümlülüklerinin maddi ihlali, iş faaliyetinin durması — müşteriye serbest bırakır; müşterinin yazılımı bağımsız olarak sürdürmesini sağlar. Emanet, “yalnızca ikili” koşullarla lisanslı görev-kritik kurumsal yazılım için standart müşteri korumasıdır.
Serbest bırakma tetikleyici olayları (tipik)
- Vendor iflası veya iflas: tasfiye, Chapter 11, eşdeğer yargı bölgesi süreçleri.
- İş faaliyetinin durması / devam etmeme: pazardan resmi çıkış, ürün ömür sonu.
- Maddi ihlal: uzun süre sözleşmeli destek, bakım, güvenlik yamaları sağlamama.
- Edinim tetikleyicileri: halef tüzel kişinin desteği durdurduğu kontrolün değişmesi.
- Müşteri-tanımlı tetikleyiciler: işlem bağlamına uyarlanmış (düzenleyici zorunluluk değişikliği, kilit kişi ayrılması).
Kaynak kodun ötesinde depozit içeriği
- Kaynak kod: tam sürüm-kontrollü kod tabanı.
- Derleme talimatları: derleme ortamı, bağımlılıklar, derleme scriptleri.
- Dokümantasyon: mimari, dağıtım, yapılandırma dokümantasyonu.
- Üçüncü taraf lisanslar: OSS malzeme listesi, ticari kütüphane hakları.
- Güncelleme sıklığı: tipik olarak üç aylık veya büyük sürüm başına.
Emanet doğrulaması
- Temel doğrulama: emanet ajanı depozit eksiksizliğini onaylar.
- Dosya-listesi doğrulaması: ajan belirli dosyaların depozit programıyla eşleştiğini onaylar.
- Derleme doğrulaması: ajan kaynak kodu temiz ortamda derleyerek derlenebilirliğini doğrular.
- İşlevsel doğrulama: derlenmiş çıktı işlevsel testleri karşılar — en yüksek güvence seviyesi.
Türk kurumsal ve yazılım vendor’lar için
Türk büyük kurumsal müşteriler (bankalar, telekom, devlet kuruluşları) Türk veya uluslararası SaaS/yazılım sağlayıcılarından lisans aldıklarında özellikle kritik sistemler için (core banking, faturalama, ERP) kaynak kod emaneti standart talep eder. Türk vendor’lar tarafında uluslararası emanet ajan kullanımı (Iron Mountain, NCC Group) yaygın; Türk yerel emanet seçeneği (TÜBİTAK BİLGEM gibi) sınırlı. Türk hukukunda emanet sözleşmesi sözleşme özgürlüğü kapsamında geçerlidir (TBK Madde 26); serbest bırakma tetikleyicilerinin özel detayları (özellikle iflas tetikleyici Türk İcra İflas Kanunu eşgüdümünde) müzakere edilir. KVKK ve veri yerelleştirme gereksinimleri kaynak kod deposunun konumunu etkileyebilir.
Yapın: derleme doğrulamasını (yalnızca dosya-listesi değil) müzakere edin; depoziti en az üç ayda bir veya sürüm başına güncelleyin; serbest bırakmada tam lisans verme kapsamını belgeleyin.
Yapmayın: yalnızca emanetin yeterli olduğunu varsaymayın — OSS malzeme listesi, derleme talimatları ve belgelenmiş bağımlılıklar olmadan serbest bırakılan kod kullanılamaz olabilir.