OSS lisans yükümlülükleri nedir?
Açık Kaynak Yazılım (OSS) lisans yükümlülükleri, bireysel açık kaynak lisansları tarafından lisanslanmış yazılımın kullanımı, değiştirilmesi ve yeniden dağıtımı üzerine getirilen koşullardır. Maliyet açısından “ücretsiz” olmalarına rağmen, OSS kullanımı hukuki yükümlülükler taşır — atıf gereksinimleri, kaynak ifşası, türev-çalışma lisanslama kısıtlamaları. Uyumsuzluk şirketleri telif hakkı ihlali iddialarına, tedbir riskine ve ürün geri çağırmaya maruz bırakır — Conservancy v. Vizio (2024) ve BusyBox davaları yaptırım yapılabilirliğini doğruladı. Modern yazılım tedarik zincirleri bileşen sayısıyla %50-90 OSS içerir; uyum herhangi bir ürün şirketi için isteğe bağlı değildir.
Lisans ailesi yükümlülükleri genel bakış
- İzin verici (MIT, Apache 2.0, BSD): minimal yükümlülükler — telif hakkı bildirimi ve lisans metnini koruyun. Apache 2.0 patent verme hükmü ekler.
- Zayıf copyleft (LGPL, MPL 2.0, EPL): lisanslı dosya/kütüphaneye yapılan değişiklikleri paylaşın; tescilli link etmeye izin verin.
- Güçlü copyleft (GPL v2, GPL v3): tüm türev çalışma GPL olmalıdır; kaynak kod dağıtımı gereklidir.
- Ağ copyleft (AGPL v3): GPL artı ağ-kullanımı tetikleyicisi — AGPL kodu kullanan SaaS’lar kullanıcılara kaynak sunmalıdır.
- OSS olmayan kaynak-mevcut (SSPL, BSL, Elastic License): OSI tanımına göre OSS değil ama kısıtlayıcı koşullarla kaynak sağlar.
Uyum programı bileşenleri
- SBOM (Yazılım Malzeme Listesi): tüm bileşenlerin, sürümlerin, lisansların envanteri.
- Lisans tarama: otomatik araçlar (FOSSA, Snyk, Black Duck, FOSSology) bağımlılık ağacındaki lisans koşullarını tanımlar.
- Politika: onaylı/koşullu/yasak lisans listeleri; mühendislik süreci entegrasyonu.
- Atıf dokümantasyonu: ürünle birlikte gönderilen OPEN_SOURCE_LICENSES.md veya benzeri.
- Değişiklik izleme: copyleft uyumu için upstream ile diff.
- Dağıtım denetimi: harici dağıtılan vs. yalnızca-iç.
Yaygın uyum başarısızlıkları
- Eksik atıf: dağıtılan yazılımda MIT/Apache lisans metnini dahil etmeme.
- LGPL’nin statik linki: bazı yorumlarda tescilli kodu LGPL koşullarına maruz bırakır.
- AGPL’nin kaynak ifşası olmadan SaaS kullanımı: AGPL’nin ağ-kullanımı tetikleyicisi SaaS ekipleri tarafından kaçırılır.
- Açık kaynağa karşı patent iddiası: Apache 2.0 patent fesih hükmü tetiklenir.
- Yeniden dağıtım olmadan copyleft değiştirme: yalnızca iç değişiklikler genelde tamam; dağıtım yükümlülükleri tetikler.
Türk yazılım şirketleri için OSS uyumu
Türk yazılım şirketleri (Pardus, Logo, Insider, Picus Security) OSS uyumunda hem üretici hem tüketici pozisyonundadır. AB pazarına satışta Cyber Resilience Act (CRA) ve KVKK uyum gereksinimleri OSS bağımlılık şeffaflığını giderek zorunlu kılar. Türk SaaS’lerin AGPL-lisanslı bileşen (Grafana, MinIO, MongoDB pre-2018) kullanımında ağ kullanıcılara kaynak sunma yükümlülüğü çoğunlukla görmezden gelinmektedir — uyum riski. Modern Türk Ar-Ge ve yazılım şirketlerinde SBOM ve lisans taraması artık standart CI/CD pipeline parçasıdır.
Yapın: derleme zamanında SPDX veya CycloneDX formatında SBOM üretin; politika geçitleriyle CI/CD’ye lisans taraması entegre edin; tüm dağıtılan ürünlerde atıf dosyası tutun.
Yapmayın: OSS’i “istediğiniz gibi kullanın” saymayın — copyleft uyumsuzluğu gerçek dava riski yaratır ve AGPL 2022-2024’te yaptırım eylemleri tetiklemiştir.