Software escrow – často kladené otázky
Jak jsou uložená data chráněna před ztrátou či poškozením (např. při selhání hardware)?
Ztrátě materiálu v úschově předcházíme na několika úrovních. Data uchováváme v podobě zabezpečeného archívu zrcadlově na dvou geograficky oddělených úložištích – Praha a Olomouc. Nezávisle v každém z nich probíhá cyklická kontrola konzistence souborů. Pro výskyt jakékoliv mimořádné události (např. výpadek dostupnosti úložiště) je definován přesný postup vedoucí k nápravě a uvedení celého systému úschovy do původního stavu.
Jak jsou zdrojové kódy ochráněny před vyzrazením?
Námi uplatňovaná ochrana zdrojových kódů využívá asymetrickou kryptografii. Materiál je zašifrovaný za použití veřejného klíče uživatele software. Tím se uživatel stává jediným subjektem, který je schopen materiál dešifrovat. K zašifrovanému materiálu má však uživatel přístup až po vydání z úschovy. Naše technologie úschovy zdrojových kódů tak naplňuje základní princip bezpečnostní techniky – kombinaci znalosti tajemství (privátní klíč) a vlastnictví (přístup k materiálu).
Nemůže se stát, že DEPONEST vydá zdrojové kódy z rukou neoprávněně nebo někomu jinému?
Podmínky v escrow smlouvě pro výdej zdrojových kódů musí být vždy objektivně měřitelné a jasně nastavené. Příjemce zdrojových kódů je také přesně definovaný a povinností DEPONESTu je ho identifikovat. Typickými událostmi pro výdej zdrojových kódů jsou:
- krach výrobce software
- porušení escrow smlouvy ze strany výrobce software
- porušení povinností vyplývajících ze smlouvy o údržbě
Jak se služby DEPONESTu liší od služeb advokátních kanceláří, které uchovávají zdrojové kódy?
Úschova zdrojových kódů u advokátní kanceláře je jistě přijatelné řešení, zaručuje nedotknutelnost tohoto digitálního materiálu a vydání jen v případě naplnění podmínek smlouvy. Advokátní kanceláře ale většinou nedisponují dostatečným technologickým know-how. Nemohou tedy kvalitně ověřit, že v případě potřeby budete schopni okamžitě vytvořit z těchto zdrojových kódů provozuschopnou aplikaci.
Oproti tomu my nabízíme dvě úrovně verifikace uchovávaného materiálů, díky kterým můžeme ověřit, zda uložené zdrojové kódy opravdu přísluší aplikaci, kterou má zákazník nainstalovánu v živém provozu. Jakmile dojde k naplnění podmínek escrow smlouvy a zdrojové kódy jsou vydány, zkušený programátor je schopen vygenerovat plnohodnotný software.
Lze využít úschovu i pro jiný typ digitálního materiálu než jsou zdrojové kódy?
Naše escrow služby může využít kdokoliv k úschově různých typů digitálních materiálů. Důležitá je, že má se svou protistranou ujednáno co je předmětem úschovy a za jakých podmínek bude tento obsah úschovy vydán.
Kromě úschovy zdrojových kódů se tedy naše escrow služby dobře aplikují např. na úschovu prováděcích dokumentací různých stavebních a strojních projektů, které nesou určité duševní vlastnictví zhotovitele a zákazníkovi nejsou předávány. Stejně tak se může jednat o rozmanité výrobní plány, designové podklady, technické dokumentace, které po nějaké době výrazně usnadňují úpravu finálního produktu.
Dalším vhodným využitím je úschova originálu fotografií a zdrojových podkladů, které vedou k vytvoření např. různých marketingových materiálů. I zde zákazník obdrží od profesionálního fotografa zpravidla pouze finální produkt, kterým jsou různé letáky, šablony, billboardy… pokud po nějaké době požaduje třeba jen drobné úpravy, je nucen požádat o úpravu fotografa.
Escrow služby najdou své opodstatnění v takových vztazích výrobce a zákazníka, kdy je výrobce nucen chránit si své know-how a s tím spojená rizika pro zákazníka přerůstají akceptovatelnou míru. Aniž by si to kdokoliv přál zhotoviteli se může stát cokoliv.
Díky dekompilaci binárních souborů je možné získat zdrojové kódy. Proč bychom je tedy měli uschovávat?
V principu je to opravdu možné. Bohužel při dekompilaci strojového kódu vzniká zdrojový kód, který není lehce čitelný (nezůstanou zachovány např. programátorovy komentáře). Navíc zdrojový kód sám o sobě zdaleka nestačí. Důležité jsou další programové prvky jako build skripty, build návody, konfigurace vývojových nástrojů, technická dokumentace, nástroje třetích stran… V praxi by tak postup dekompilace software mohl být úspěšný pouze u malých nekomplexních softwarových programů.