¿Por qué los inversores deberían prestar más atención al software de código abierto?

España va camino de convertir 2021 en el año con mayor inversión en tecnología, con 47.800 millones de euros, un 4,4% más con respecto a 2020,según IDC Research. A medida que el sector crece y se le destina más dinero, los inversores deben asegurarse de estar protegidos contra cualquier posible amenaza. La prevención de riesgos es especialmente importante cuando se consideran las inversiones en el espacio tecnológico y el principal activo de cualquier acuerdo suele ser el software.

Los esfuerzos de due diligence en la etapa de preinversión suelen ser muy detallados en términos financieros y legales, pero carecen de tecnología. Por tanto, las vulnerabilidades del software tienden a pasar desapercibidas y, generalmente, no se realiza un análisis exhaustivo del uso del software de código abierto. ¿Qué riesgos puede suponer esto y cómo se pueden mitigar?

Entender el software de código abierto

El software de código abierto puede definirse como un software que los desarrolladores pueden inspeccionar, copiar, modificar y redistribuir. Se basa en los principios compartidos de enriquecer el conocimiento a través de la colaboración de la comunidad; la mente de colmena siempre va a ser capaz de producir cosas más grandes y mejores que un desarrollador solitario escribiendo código desde cero. En la actualidad, la comunidad de código abierto está prosperando, con un 35% más de repositorios de código abierto creados en GitHub en 2020 que en el año anterior. El uso del código abierto se está convirtiendo rápidamente en una necesidad estratégica en nuestro mundo altamente digital, ya que en un entorno competitivo es esencial poder desarrollar de manera más rápida. Desarrollar y sacar al mercado nuevas funciones antes que un competidor mejora las posibilidades de una organización de obtener una mayor cuota de mercado, y los informes llegan a afirmar que la creación de una cultura de código abierto impulsa la innovación. No es de extrañar, pues, que trabajar con software de código abierto se esté convirtiendo en un requisito para casi todo el software.

Los beneficios de integrar el software de código abierto en los repositorios de código comercial son de gran alcance, lo que significa que el uso del código abierto puede y debe ser visto como un activo por los inversores. El código abierto permite a las organizaciones acceder a una comunidad amplia y técnicamente diversa de desarrolladores de software, lo que significa que el software de código abierto puede enfrentarse a un menor riesgo de obsolescencia. Esta amplia comunidad también permite a las organizaciones eludir las dificultades de adquisición de talento, reduciendo al mismo tiempo los costes. Sin embargo, para aprovechar estas ventajas, los inversores deben asegurarse de que las organizaciones en las que invierten gestionan correctamente su uso del código abierto, lo que no siempre ocurre.

Profundizar en las licencias de código abierto

Las restricciones de las licencias de código abierto pueden ser muy diferentes a las del software desarrollado internamente. Casi todas estas licencias cumplen con las "libertades esenciales" del movimiento del código abierto: la libertad de usar, ejecutar, estudiar, modificar y redistribuir el software de código abierto para cualquier propósito. Estas libertades son principios esenciales que dan lugar a algunas de las bondades del software de código abierto, ya que permiten a la comunidad desarrollarse y reelaborarse constantemente para encontrar mejores soluciones. Sin embargo, la forma en que estos principios se aplican al software derivado del código abierto depende de las restricciones de licencia que se hayan aplicado, generalmente licencias permisivas o copyleft.

Las licencias permisivas, como la licencia Apache v.2.0, la licencia BSD y la licencia MIT, conceden todas las "libertades esenciales" antes mencionadas, pero no requieren que estas libertades se mantengan en las obras derivadas. En consecuencia, el software de código abierto sujeto a una licencia permisiva puede modificarse en una base de código más amplia y distribuirse bajo los mismos o diferentes términos de licencia, según se considere oportuno. Debido a la relativa libertad que supone el uso de las licencias permisivas, hay pocas desventajas en su uso como parte del software derivado. Por otro lado, las licencias copyleft, o también llamadas "no permisivas", requieren que cualquier redistribución de un software se haga bajo los mismos términos o requisitos compatibles con la licencia original de código abierto. Los términos posibles de las licencias copyleft son amplios y pueden incluir la obligación de hacer público todo el código fuente desarrollado por la empresa o la necesidad de pagar una licencia por el uso del código abierto dentro de un software comercial. La licencia copyleft más utilizada, conocida como copyleft fuerte, es la Licencia Pública General de GNU (GPL), que se aplica no solo a cualquier modificación realizada en el código fuente abierto con licencia GPL, sino también a cualquier trabajo derivado basado en el código GPL. Como tal, una base de código completa estaría sujeta a los términos de la GPL, incluso si solo usa un par de líneas de código GPL.

Proteger sus inversiones contra los riesgos de la propiedad intelectual

Al utilizar código sujeto a licencias restrictivas, como la GNU GPL, las organizaciones se enfrentan a una amenaza para su propiedad intelectual. Las licencias que permiten que el código propietario se defina como obra derivada significan que las organizaciones pueden perder su derecho de propiedad intelectual sobre todo un software desarrollado internamente. Por ejemplo, cuando Hancom Office, una suite de aplicaciones de productividad, incorporó Ghostscript, un intérprete de PDF de código abierto, en su software de procesamiento de textos en 2013, debería haberse adherido a su licencia de código abierto, la GNU GPL. Esto habría supuesto que Hancom tuviera que hacer que toda su suite de aplicaciones fuera de código abierto con la misma licencia GNU GPL, perdiendo así todos los derechos de propiedad intelectual de su producto. Alternativamente, en este caso concreto Hancom podría haber pagado una cuota de licencia a Artifex, el desarrollador de Ghostscript, ya que ellos renuncian a la GNU GPU si los desarrolladores comerciales están dispuestos a pagar, lo que no siempre ocurre. Hancom no hizo ninguna de las dos cosas, lo que llevó a  Artifex a presentar una demanda en 2017 y que el Tribunal de Distrito de Estados Unidos fallara a su favor. Aunque los términos exactos del acuerdo siguen siendo confidenciales, es seguro decir que Hancom habrá sufrido importantes pérdidas financieras, de reputación y de propiedad intelectual (PI).   

Por supuesto, el nivel de riesgo de utilizar software de código abierto depende de lo contaminante que sea la licencia de código abierto y de la severidad de sus términos. La integración de software de código abierto sujeto a una licencia permisiva no tendrá las mismas consecuencias que la integración de software sujeto a una licencia copyleft, que obliga a las organizaciones a pagar o a hacer públicas sus bases de código, lo que supone una pérdida de propiedad intelectual devastadora. El caso Artifex contra Hancom ha sentado un precedente demoledor para cualquier organización que integre software de código abierto sujeto a una licencia copyleft en sus bases de código más amplias, y las organizaciones deben aplicar una sólida estrategia de código abierto para evitar este tipo de batallas legales.

Los inversores deben comprobar las restricciones de las licencias de código abierto y todos los demás riesgos potenciales de mantenimiento y explotación cibernética asociados a un software mediante la aplicación de una due diligence de software integral antes de invertir. La auditoría más completa utiliza un algoritmo combinado con la revisión de expertos para escanear cada línea de código, de modo que cualquier software de código abierto se identifique y se evalúe en consecuencia. La auditoría también revisa los procesos operativos internos de una empresa, incluida su estrategia de gestión del código abierto, para reducir e incluso evitar estos riesgos en el futuro.

Philippe Thomas, CEO, Vaultinum