Jump to

Kaynak Kod Emaneti (Yazılım Koruma)

Kaynak kod emaneti nedir?

Kaynak kod emaneti (source code escrow), bir yazılım vendor’ının kaynak kodu bağımsız bir emanet ajanına (örn. Iron Mountain, NCC Group, Codekeeper) yatırdığı üçlü taraf düzenlemesidir; vendor yazılımı destekleyemez hale gelirse müşteriyi (lisans alanı) koruyan serbest bırakma koşullarıyla. Emanet anlaşmaları tipik olarak kaynak kodu tanımlı tetikleyicilerde — vendor iflası, destek yükümlülüklerinin maddi ihlali, iş faaliyetinin durması — müşteriye serbest bırakır; müşterinin yazılımı bağımsız olarak sürdürmesini sağlar. Emanet, “yalnızca ikili” koşullarla lisanslı görev-kritik kurumsal yazılım için standart müşteri korumasıdır.

Serbest bırakma tetikleyici olayları (tipik)

  • Vendor iflası veya iflas: tasfiye, Chapter 11, eşdeğer yargı bölgesi süreçleri.
  • İş faaliyetinin durması / devam etmeme: pazardan resmi çıkış, ürün ömür sonu.
  • Maddi ihlal: uzun süre sözleşmeli destek, bakım, güvenlik yamaları sağlamama.
  • Edinim tetikleyicileri: halef tüzel kişinin desteği durdurduğu kontrolün değişmesi.
  • Müşteri-tanımlı tetikleyiciler: işlem bağlamına uyarlanmış (düzenleyici zorunluluk değişikliği, kilit kişi ayrılması).

Kaynak kodun ötesinde depozit içeriği

  • Kaynak kod: tam sürüm-kontrollü kod tabanı.
  • Derleme talimatları: derleme ortamı, bağımlılıklar, derleme scriptleri.
  • Dokümantasyon: mimari, dağıtım, yapılandırma dokümantasyonu.
  • Üçüncü taraf lisanslar: OSS malzeme listesi, ticari kütüphane hakları.
  • Güncelleme sıklığı: tipik olarak üç aylık veya büyük sürüm başına.

Emanet doğrulaması

  • Temel doğrulama: emanet ajanı depozit eksiksizliğini onaylar.
  • Dosya-listesi doğrulaması: ajan belirli dosyaların depozit programıyla eşleştiğini onaylar.
  • Derleme doğrulaması: ajan kaynak kodu temiz ortamda derleyerek derlenebilirliğini doğrular.
  • İşlevsel doğrulama: derlenmiş çıktı işlevsel testleri karşılar — en yüksek güvence seviyesi.

Türk kurumsal ve yazılım vendor’lar için

Türk büyük kurumsal müşteriler (bankalar, telekom, devlet kuruluşları) Türk veya uluslararası SaaS/yazılım sağlayıcılarından lisans aldıklarında özellikle kritik sistemler için (core banking, faturalama, ERP) kaynak kod emaneti standart talep eder. Türk vendor’lar tarafında uluslararası emanet ajan kullanımı (Iron Mountain, NCC Group) yaygın; Türk yerel emanet seçeneği (TÜBİTAK BİLGEM gibi) sınırlı. Türk hukukunda emanet sözleşmesi sözleşme özgürlüğü kapsamında geçerlidir (TBK Madde 26); serbest bırakma tetikleyicilerinin özel detayları (özellikle iflas tetikleyici Türk İcra İflas Kanunu eşgüdümünde) müzakere edilir. KVKK ve veri yerelleştirme gereksinimleri kaynak kod deposunun konumunu etkileyebilir.

Yapın: derleme doğrulamasını (yalnızca dosya-listesi değil) müzakere edin; depoziti en az üç ayda bir veya sürüm başına güncelleyin; serbest bırakmada tam lisans verme kapsamını belgeleyin.
Yapmayın: yalnızca emanetin yeterli olduğunu varsaymayın — OSS malzeme listesi, derleme talimatları ve belgelenmiş bağımlılıklar olmadan serbest bırakılan kod kullanılamaz olabilir.