¿Qué es el Cumplimiento de Licencias de Código Abierto en SaaS? 

El cumplimiento de licencias de código abierto es el proceso de seguir los términos y condiciones de un software de código abierto específico utilizado dentro de una aplicación SaaS. 

Este proceso también incluye:

• reconocer varias licencias 
• analizar componentes de código abierto
• cumplir con obligaciones como proporcionar avisos de derechos de autor y código fuente cuando sea necesario

El cumplimiento de código abierto ayuda a evitar problemas legales, asegura la transparencia y fomenta la colaboración entre otras partes involucradas. 

El cumplimiento de código abierto es esencial para las empresas SaaS cuando integran componentes de código abierto en su software que contienen información sensible, en nuevas regiones con regulaciones diferentes, o en sistemas con un mayor volumen de usuarios. 

El cumplimiento también es necesario para evitar repercusiones legales al gestionar las obligaciones de licencias, así como para implementar medidas y procedimientos de seguridad para lograr el cumplimiento de GDPR y HIPAA. 

Por ejemplo, el uso de bibliotecas de código abierto para procesar datos personales requiere la adhesión a los términos de la licencia que pueden dictar los procedimientos de manejo de datos y las medidas de seguridad, impactando el cumplimiento de marcos como ISO/IEC 27001, NIST Cybersecurity Framework y SOC 2.  

También es importante que las empresas SaaS elaboren políticas de cumplimiento de código abierto que se centren en:

• puntos clave de licenciamiento
• disponibilidad de soporte 
• protocolos de seguridad 
• gestión del ciclo de vida 

La existencia de estas políticas es relevante para el departamento de TI en su tarea de seguir la implementación de las regulaciones y asegurar la confianza de las partes interesadas y de los clientes.

Las licencias de código abierto comunes en SaaS incluyen: 

Los proveedores de SaaS deben revisar cuidadosamente los términos de cada licencia, especialmente en lo que respecta a las cláusulas de patentes y las obligaciones de distribuir versiones modificadas o divulgar el código fuente, y también deben estar al tanto de las licencias emergentes específicas de IA. 

En el SaaS, el incumplimiento de las licencias de código abierto conlleva numerosos riesgos. Estos incluyen:

• la amenaza de acciones legales por parte de los titulares de los derechos de autor
• pérdidas económicas debido a los costos de litigio o de acuerdos
• la interrupción del proyecto como consecuencia de medidas correctivas.

Además, el incumplimiento puede dañar la reputación, credibilidad y posición de una empresa entre las comunidades de código abierto, lo que puede afectar futuras colaboraciones. 

Aquí hay un proceso de tres pasos que las empresas SaaS pueden seguir: 

1. Obtenga una comprensión clara de los requisitos de las licencias de código abierto y cómo se aplican a su producto.
2. Utilice herramientas de seguimiento y sistemas de monitoreo para identificar todos los código abierto componentes utilizados. 
3. Considere integrar controles de cumplimiento en su DevOps pipeline y conviértalo en una rutina para encontrar y resolver cualquier problema de cumplimiento. 

Puede automatizar el cumplimiento de licencias de software de código abierto utilizando herramientas dedicadas en su proceso de desarrollo que identifican dependencias, encuentran las licencias y señalan posibles conflictos.

Estas herramientas incluyen:

• FOSSA
• Black Duck SCA
• Anchore’s Grant
• Productos de gestión de SaaS como Torii y Flexera One/Snow Software