Öncelikle Açık Kaynak Kodlu Yazılımlar (AKKY) nedir onu anlamamız gerekmektedir. Geliştirilen yazılımların nasıl kullanılacağı ile ilgili hakları ve izinleri içeren yazılım lisansı anlaşması vardır. Yazılım geliştiriciler ya da yazılım geliştiren şirketler bu anlaşmayı yazılımla birlikte kullanıcıya sunarlar. Yazılımı satın alanlar da bu anlaşmayı kabul etmiş sayılır. Biliyoruz ki bu yazılımlar geliştiren kişi veya ticari işletmeler için fikri/sınai bir haktır. Nitekim 5846 sayılı Fikir ve Sanat Eserleri Kanununda da lisans anlaşmalarına vurgu yapılarak bu anlaşmalara uymayanlar siber suçlu olarak kabul edilmiştir. Bazı üreticiler bu konularda oldukça hassastır. Özellikle sanayide kullanılan çizim programları gibi lisanslı ürünlerin uygunsuz kullanımı hakkında 6100 sayılı Hukuk Muhakemeleri Kanununun (HMK) 400. Maddesine göre mahkemelerden delil tespiti isteyebilmekte ve çoğunlukla mahkemeler bu talebi kabul etmektedirler. Bu durumda belirlenen işyerlerine avukat ve bilirkişi eşliğinde baskınlar yapılabilmektedirler. Bununla birlikte Kamu Kurumları da bu lisanslara elbette uymak zorundadır. Hatta 16 Temmuz 2008 Tarih ve 26938 sayılı Başbakanlık genelgesi ile lisansa aykırı yazılım kullanımının Kamuda da yasak olduğu vurgulanmıştır. Yazılım lisansı türleri içinde Açık Kaynak Lisansları da vardır. Açık kaynaklı yazılım lisansları, kullanıcılarına üzerinde anlaşılan hüküm ve koşullara dayalı olarak kaynak kodu, kullanımına, değiştirmeye ve dağıtmaya izin verir. Fakat bir yazılımın açık kaynak olması, yazılımın istendiği gibi kullanılabileceği, kopyalanabileceği, değiştirilebileceği ve dağıtılabileceği anlamına gelmez. Farklı tür lisanslara göre bazıları kaynak kodu geliştirip ticari kazanç sağlamanıza izin verebilir, bazı lisanslarda ise yalnızca ihtiyaçlarınızı karşılamak veya sorunları gidermek için kaynak kodunu değiştirmenize izin verilebilir. Bunların açık kaynak lisans anlaşmasında açıkça yazması gerekir.
29.07.2023 tarih ve 32263 sayı ile yayınlanan Kamuda AKKY Kullanımı konulu Cumhurbaşkanlığı Genelgesi ile Kamuda önemli bir dönem başladı. Bu genelgeye Milli Savunma Bakanlığı, Milli İstihbarat Teşkilatı Başkanlığı, Savunma Sanayii Başkanlığı, Milli Güvenlik Kurulu Genel Sekreterliği, Emniyet Genel Müdürlüğü, Jandarma Genel Komutanlığı ile Sahil Güvenlik Komutanlığı hariç 10/12/2003 tarihli ve 5018 sayılı Kamu Mali Yönetimi ve Kontrol Kanununa ekli (I), (Il), (III) ve (IV) sayılı cetveller kapsamındaki kamu idareleri ve bu idarelere bağlı, ilgili ve ilişkili kamu kurum ve kuruluşları ile il özel idareleri, belediyeler ve bunların bağlı kuruluşları ile kurdukları birlik, müessese ve işletmeler; 8/6/1984 tarihli ve 233 sayılı Kamu İktisadi Teşebbüsleri Hakkında Kanun Hükmünde Kararnameye tabi kamu iktisadi teşebbüsleri ile bunların doğrudan veya dolaylı olarak tek başına veya birlikte ya da ayrı ayrı sermayesinin yarısından fazlasına sahip oldukları her çeşit kuruluş, müessese, birlik, işletme ve şirketler; özelleştirme kapsam ve programına alınmış hisselerinin yarısından fazlası kamuya ait olan özel hukuk hükümlerine tabi kuruluşlar, fonlar, döner sermayeler ve diğer tüm kamu kurum ve kuruluşları uymak zorundadır. Genelgeye göre;
- Her bir kurum sahip olduğu ticari lisanslı yazılımların envanterini çıkaracak ve bunlardan hangilerinin AKKY benzerleriyle değiştirilebileceğine yönelik “AKKY Geçişi Analiz ve Yol Haritası Raporu’nu 9 ay içinde Dijital Dönüşüm Ofisine iletecektir. Aslında kurumlar bu envanterleri DDO Bilgi ve İletişim Güvenliği Rehberine göre önceden çıkarmış olması gerekiyor. DDO web sayfasında mevcut olan şablonlara göre güncellemeleri yeterli olacaktır.
- Oluşturulan Yol Haritası Raporu çerçevesinde yürütülmesi gereken çalışmalar için gerekli mali kaynaklar Strateji ve Bütçe Başkanlığınca öncelikle karşılanmaya çalışılacaktır. Burası çok önemli. Hatırlarsanız DDO Bilgi ve İletişim Güvenliği Rehberinin uygulanması da Genelge ile zorunlu kılınmış (6 Temmuz 2019) ancak rehbere uyum için gereken ödeneklere ilişkin bir madde konmamıştı.
- Kurumlar ticari lisanslı yazılımlar kullanmayı tercih edebilirler. AKKY olmamasına rağmen yine de ödenek talep ederlerse Strateji ve Bütçe Başkanlığına iletilecek proje teklif formlarında, alınması öngörülen ticari lisanslı yazılımlar için AKKY muadillerinin neden tercih edilmediğine yönelik teknik ve ekonomik gerekçeler detaylı şekilde açıklanacaktır.
- Mevcut AKKY’lerin Türkiye’de faaliyet gösteren yazılım firmalarınca ve Türkiye’de istihdam edilen personel tarafından özelleştirilmesi suretiyle geliştirilen yazılımlar da AKKY geçiş sürecinde değerlendirmeye alınacaktır. Bu yazılımlar, yazılım lisanslama usulü itibarıyla AKKY lisanslarını kullanmıyor olsa dahi geçiş sürecinde değerlendirmeye alınacaktır. Uygun nitelikte AKKY ürünü bulunmaması durumunda ise bu yazılımlar teknik ve mali açılardan ilgili kamu kurum ve kuruluşunun ihtiyacını karşılaması göz önüne alınarak ticari lisanslı yazılımlara tercih edilecektir.
Aşağıda Genelge kapsamında AKKY kabul edilebilecek lisanslar sunulmaktadır. Dijital Dönüşüm Ofisi (DDO), TÜBİTAK-ULAKBİM tarafından hazırlanan AÇIK KAYNAK KODLU YAZILIMA GEÇİŞ ANALİZ REHBERİ’ne göre liste hazırlanmıştır.
- BSD Zero Clause License
- Academic Free License
- GNU Affero General Public License
- Apache License
- Artistic License
- BSD 2-Clause “Simplified” License
- BSD 3-Clause Clear License
- BSD 3-Clause “New” or “Revised” License
- BSD 4-Clause “Original” or “Old” License
- Boost Software License
- Creative Commons Attribution International
- Creative Commons Attribution Share Alike International
- Creative Commons Zero Universal
- CeCILL Free Software License Agreement
- Educational Community License
- Eclipse Public License
- European Union Public License
- GNU Free Documentation License
- GNU General Public License
- ISC License
- GNU Lesser General Public License
- LaTeX Project Public License
- MIT No Attribution
- MIT License
- Mozilla Public License
- Microsoft Public License
- Microsoft Reciprocal License
- Mulan Permissive Software License
- University of Illinois/NCSA Open Source License
- Open Data Commons Open Database License
- SIL Open Font License
- Open Software License
- PostgreSQL License
- The Unlicense
- Universal Permissive License
- Vim License
- zlib License
Yazımızın devamında Genelgeye dair görüşlerimi sıralamaya çalıştım.
Her şeyden önemlisi genelgeyi çok değerli buluyorum. Bu vizyon ve gösterilen irade için başta Sayın Cumhurbaşkanımız olmak üzere tüm emeği geçenlere teşekkür ediyorum.
Öncelikle ülkemizde yapılan bilişim harcamalarını hatırlatmak istiyorum. Strateji ve Bütçe Başkanlığının 10 Mayıs 2023 de yayınladığı “2023 Kamu Bilgi ve İletişim Teknolojileri Yatırımları Raporu”na göre kamu BİT yatırımları için toplam 21,203 Milyar TL (785 milyon dolar) ayrılmasına rağmen en fazla bütçe ayrılan (BTK iletişim altyapı projeleri, MEB FATİH projesi .. vb.) ilk 10 kurumu çıktığımızda (15,273) 5,930 milyar TL diğer tüm kurumlara ayrılmıştır. Bugün ki kurla 219,6 milyon dolardır. Kamu BİT projelerine ayrılan bütçe toplam yatırım bütçesinin %4,7 si kadardır.
- Bu harcama oranlarına dikkat çekmemin nedeni Genelgenin “Kamuda açık kaynak kodlu yazılımların (AKKY) kullanımının yaygınlaştırılarak bilişim harcamalarından tasarruf edilmesi” cümlesi ile başlamasıdır. Genelgenin başında sözü edilen “bilişim harcamalarından tasarruf edilmesi” zannediyorum yurtdışına giden lisans maliyetlerinden tasarruf anlamında kullanıldı. Bu maliyetlerden tasarruf edilerek daha çok yerli yazılıma, açık kaynağa, insan kaynağına ve yeni BT projelerine yatırım yapılmak istendi. Öteki türlü ister BİT’nin toplam yatırımlar içerisindeki payına bakalım isterse dolar bazında ödeneklere bakalım tasarrufun zaten yüksek olduğunu söyleyebiliriz.
Kamu kurumlarının bilişim alanındaki kadrolu mühendis, programcı ve sözleşmeli pozisyonlardaki istihdam kadro sayılarını oldukça yetersizdir. Özellikle açık kaynak doğası gereği bir şeyleri güncellemek ve uyarlamak gerektirdiğinden daha fazla bilişim insan kaynağına ihtiyaç duymaktadır. Bu açıdan kamudaki bilişim insan kaynağını da eş zamanlı olarak artırmak gerekir. Karşımızda buna engel olan bir de bilişim iş göçü sorunu vardır Bu konuda piyasa da yetişmiş personel sıkıntısı çektiğinden az sayıdaki bilişim personelini kurumlarda tutmak zorlaşmıştır.
Genelgenin amaçlarından bir diğeri ise siber güvenliğin güçlendirilmesidir. Buradaki tespitte son derece doğrudur. Bazı lisanslı ürünlerde kaynak koda erişilememektedir. Bu yüzden özellikle arka kapı denilen bir zafiyet ortaya çıkmaktadır. Ülkeler ya da şirketler kendi menfaatleri için bu arka kapıları kullanarak kişisel ya da tüzel hassas verilere ulaşabilmekte pazarlama ya da başka niyetlerle kullanabilmektedirler. Ülkemiz bu konuda hassas davranmaya başlamış ve DDO Bilgi ve İletişim Güvenliği Rehberinde de bu duruma dikkat çekilmiştir. Rehber ile birlikte satın alınan yazılımların arka kapı zafiyetinin olup olmadığı denetlenmesi istenmiştir. Ancak pratikte birçok paket yazılımın kaynak koduna erişim imkânı olmadığından uygulanamamıştır. Gözden kaçırılmaması gereken bir diğer konu ise açık kaynak kodlu bir yazılımın siber güvenlik açığının her yazılımda olduğu gibi var olma ihtimalidir. Yani bir yazılımın açık kaynak kodlu olması o yazılımda siber güvenlik açığı olmayacağı anlamına gelmez. Özellikle son dönemde karşılaşılan siber saldırılarda yazılımların içerisindeki açık kaynak kodlu kütüphanelerin hedef alındığı gözlemlenmişir. Bunun için Software Composition Analysis (SCA) dediğimiz yazılım bileşenlerinin yapısını ve güvenliğini analiz etmek için kullanılan yöntemler ve araçlar ortaya çıkmıştır. Bu yaklaşımda, yazılımda kullanılan açık kaynak kodlu bileşenlerin güncel sürümleri veya zafiyetleri incelenir. Yazılımcıların bu açık kaynak kodlu bileşenleri nereden indirdikleri bile çok önemlidir.
Açık kaynak kodlu yazılım parçacıkları sunan topluluklar vardır. Saldırganlar bu toplulukları taklit ederek içine zararlı kod parçacıkları yerleştirdikleri kodları kendi sisteminize yüklemenizi de sağlayabilmektedirler. Diğer bir taraftan kaynak kodlar üzerinde sürekli zafiyet aramakta ve bu kodlar açık olduğundan doğal olarak zafiyetleri bulmaktadırlar. Bu yüzden AKKY kullanırken siber güvenlikte daha çevik olunmalıdır. Sonuç olarak AKKY lisansı altında kullanılan ürünlerin siber güvenliğini sağlamak en az lisanslı ürünlerin güvenliğini sağlamak kadar zor ve emek ister. Kamu kurumları yine siber güvenlik konusunda yatırımlarını ve siber güvenlik konusunda yetişmiş bilişim insan kaynağı sayısını artırmak zorundadır.
Genelge de “Mevcut AKKY’lerin Türkiye’de faaliyet gösteren yazılım firmalarınca ve Türkiye’de istihdam edilen personel tarafından özelleştirilmesi suretiyle geliştirilen yazılımlar da, yazılım lisanslama usulü itibarıyla AKKY lisanslarını kullanmıyor olsa dahi, AKKY geçiş sürecinde değerlendirmeye alınacaktır.” denmektedir. Bu da son derece önemlidir. Günümüzde yazılım kodunun herhangi bir yerinde açık kaynak kodlu bir parçacık kullanılmaması imkansıza yakındır. Yerli yazılım geliştirme sürecinde de doğal olarak bu altyapılar kullanmaktadır. Lisansa ayrılan paranın yurtdışına çıkmadan ülke içinde kalarak ülke istihdamına ve AR-GE’sine katkı vermesi çok değerlidir. Ülkemizde ucuz iş gücü ve yaşam maliyetlerini ele alırsak çok uluslu firmaların AR-GE birimlerini ülkemizde açması sağlanabilir. Nasıl ki bazı yabancı menşeili araç üreticileri Türkiye’de yerli ortakları ile beraber üretim yaparak yönetmeliklerde belirtilen yerlilik oranına (%51) erişerek kamuya araç satıyorsa benzer şekilde kamuya yazılım da satılabilir. Tabi bunun için farklı destek paketlerine ve yaklaşımlara da ihtiyaç bulunmakta. Bunu bir kenara bırakırsak, Genelgede yerli yazılım ekosisteminin etkilenmemesi için de gayret sarf edildiğini bu maddeden anlamak mümkün.
2 cevap
Awsome post and straight to the point. I don’t know if this is in fact the best place to ask but do you guys have any ideea where to get some professional writers?
Thx 🙂
You really make it appear so easy along with your
presentation but I find this topic to be really
something that I believe I might by no means understand.
It seems too complex and extremely wide for me. I am
having a look forward to your subsequent put up, I’ll try to get the hold of it!