1. Anasayfa
  2. KAMU KURUMLARININ AÇIK KAYNAK KODLU YAZILIMLARA GEÇİŞ STRATEJİSİ

KAMU KURUMLARININ AÇIK KAYNAK KODLU YAZILIMLARA GEÇİŞ STRATEJİSİ

 

Açık Kaynak Kodlu Yazılımlar (AKKY) nedir? Yazılım geliştiriciler ya da yazılım geliştiren şirketler geliştirdikleri yazılımlar için yazılımın nasıl kullanılacağı ile ilgili hakları ve izinleri içeren bir yazılım lisansı anlaşmasını da yazılımla beraber kullanıcıya sunarlar. Yazılımı satın alanlar da bu anlaşmayı kabul etmiş sayılır. Elbette bu yazılım geliştiren şahıs ve ticari işletmeler için fikri/sınai bir haktır. Nitekim 5846 sayılı Fikir ve Sanat Eserleri Kanununda da lisans anlaşmalarına vurgu yapılarak bu anlaşmalara uymayanlar siber suçlu olarak kabul edilmiştir. Bazı üreticiler (özellikle sanayide kullanılan çizim programları vb.) bu konularda çok hassastırlar ve 6100 sayılı Hukuk Muhakemeleri Kanununun (HMK) 400. Maddesine göre mahkemelerden delil tespiti isteyebilmekte ve çoğunlukla mahkemeler bu talebi kabul etmektedirler. Bu durumda belirlenen işyerlerine avukat ve bilirkişi eşliğinde baskınlar yapılabilmektedirler. Bununla birlikte Kamu Kurumları da bu lisanslara elbette uymak zorundadır. Hatta 16 Temmuz 2008 Tarih ve 26938 sayılı Başbakanlık genelgesi ile lisansa aykırı yazılım kullanımının Kamuda da yasak olduğu vurgulanmıştır. Yazılım lisansı türleri içinde Açık Kaynak Lisansları da vardır. Açık kaynaklı yazılım lisansları, kullanıcılarına üzerinde anlaşılan hüküm ve koşullara dayalı olarak kaynak kodu, kullanımına, değiştirmeye ve dağıtmaya izin verir. Ancak şunu unutmayalım bir yazılımın açık kaynak olması, yazılımın istendiği gibi kullanılabileceği, kopyalanabileceği, değiştirilebileceği ve dağıtılabileceği anlamına gelmez. Açık kaynak lisansının türüne bağlı olarak, bazıları yalnızca ihtiyaçlarınızı karşılamak veya sorunları gidermek için kaynak kodunu değiştirmenize izin verilebilir. Bazıları kaynak kodu geliştirip ticari kazanç sağlamanıza da izin verebilir. Bunların açık kaynak lisans anlaşmasında açıkça yazması gerekir.

29.07.2023 tarih ve 32263 sayı ile yayınlanan Kamuda AKKY Kullanımı konulu Cumhurbaşkanlığı Genelgesi ile Kamuda önemli bir dönem başlıyor. Aşağıda Genelge kapsamında AKKY kabul edilebilecek lisanslar (Dijital Dönüşüm Ofisi DDO, TÜBİTAK-ULAKBİM tarafından hazırlanan AÇIK KAYNAK KODLU YAZILIMA GEÇİŞ ANALİZ REHBERİ’ne göre) sunulmaktadır.

 

  • BSD Zero Clause License
  • Academic Free License
  • GNU Affero General Public License
  • Apache License
  • Artistic License
  • BSD 2-Clause "Simplified" License
  • BSD 3-Clause Clear License
  • BSD 3-Clause "New" or "Revised" License
  • BSD 4-Clause "Original" or "Old" License
  • Boost Software License
  • Creative Commons Attribution International
  • Creative Commons Attribution Share Alike International
  • Creative Commons Zero Universal
  • CeCILL Free Software License Agreement
  • Educational Community License
  • Eclipse Public License
  • European Union Public License
  • GNU Free Documentation License
  • GNU General Public License
  • SC License
  • GNU Lesser General Public License
  • LaTeX Project Public License
  • MIT No Attribution
  • MIT License
  • Mozilla Public License
  • Microsoft Public License
  • Microsoft Reciprocal License
  • Mulan Permissive Software License
  • University of Illinois/NCSA Open Source License
  • Open Data Commons Open Database License
  • SIL Open Font License
  • Open Software License
  • PostgreSQL License
  • The Unlicense
  • Universal Permissive License
  • Vim License
  • zlib License

Bu genelgeye Milli Savunma Bakanlığı, Milli İstihbarat Teşkilatı Başkanlığı, Savunma Sanayii Başkanlığı, Milli Güvenlik Kurulu Genel Sekreterliği, Emniyet Genel Müdürlüğü, Jandarma Genel Komutanlığı ile Sahil Güvenlik Komutanlığı hariç 10/12/2003 tarihli ve 5018 sayılı Kamu Mali Yönetimi ve Kontrol Kanununa ekli (1), (il), (III) ve (IV) sayılı cetveller kapsamındaki kamu idareleri ve bu idarelere bağlı, ilgili ve ilişkili kamu kurum ve kuruluşları ile il özel idareleri, belediyeler ve bunların bağlı kuruluşları ile kurdukları birlik, müessese ve işletmeler; 8/6/1984 tarihli ve 233 sayılı Kamu İktisadi Teşebbüsleri Hakkında Kanun Hükmünde Kararnameye tabi kamu iktisadi teşebbüsleri ile bunların doğrudan veya dolaylı olarak tek başına veya birlikte ya da ayrı ayrı sermayesinin yarısından fazlasına sahip oldukları her çeşit kuruluş, müessese, birlik, işletme ve şirketler; özelleştirme kapsam ve programına alınmış hisselerinin yarısından fazlası kamuya ait olan özel hukuk hükümlerine tabi kuruluşlar, fonlar, döner sermayeler ve diğer tüm kamu kurum ve kuruluşları uymak zorunda. Genelgeye göre;

  • Her kurum kullandığı ticari lisanslı yazılımların envanterini çıkaracak (zaten DDO Bilgi ve İletişim Güvenliği Rehberine göre çıkarmış olması gerekiyordu) ve bunlardan hangilerinin AKKY muadilleriyle değiştirilebileceğine yönelik "AKKY Geçişi Analiz ve Yol Haritası Raporu"nu 9 ay içinde Dijital Dönüşüm Ofisine iletecek (şablonlar DDO web sayfasında mevcut).
  • Oluşturulan yol haritası raporu çerçevesinde yürütülmesi gereken çalışmalar için ihtiyaç duyulan mali kaynaklar Strateji ve Bütçe Başkanlığınca öncelikle karşılanmaya çalışılacak. Burası çok önemli hatırlarsanız DDO Bilgi ve İletişim Güvenliği Rehberinin uygulanması Genelge ile zorunlu kılınmış (6 Temmuz 2019) ancak rehbere uyum için gereken ödeneklere ilişkin bir madde konmamıştı. Bu durum DDO rehberi açısından benim en çok eleştirdiğim konu olmuş idi.
  • Kurumlar ticari lisanslı yazılımlar için yine de ödenek talep ederlerse Strateji ve Bütçe Başkanlığına iletilecek proje teklif formlarında, alınması öngörülen ticari lisanslı yazılımlar için AKKY muadillerinin neden tercih edilmediğine yönelik teknik ve ekonomik gerekçeler detaylı şekilde açıklanacak.
  • Mevcut AKKY'lerin Türkiye'de faaliyet gösteren yazılım firmalarınca ve Türkiye'de istihdam edilen personel tarafından özelleştirilmesi suretiyle geliştirilen yazılımlar da, yazılım lisanslama usulü itibarıyla AKKY lisanslarını kullanmıyor olsa dahi, AKKY geçiş sürecinde değerlendirmeye alınacaktır. Bu nitelikteki yazılımlar teknik ve mali açılardan ilgili kamu kurum ve kuruluşunun ihtiyacını karşılıyorsa, uygun nitelikte AKKY ürünü bulunmaması durumunda ticari lisanslı yazılımlara tercih edilecek.

Genelgeye dair görüşlerimi aşağıda sıralamaya çalıştım,

Her şeyden önemlisi genelgeyi çok değerli buluyorum bu vizyon ve gösterilen irade için başta Sayın Cumhurbaşkanımız olmak üzere tüm emeği geçenlere teşekkür ediyorum.

Genelge “Kamuda açık kaynak kodlu yazılımların (AKKY) kullanımının yaygınlaştırılarak bilişim harcamalarından tasarruf edilmesi” cümlesi ile başlamaktadır. Strateji ve Bütçe Başkanlığının 10 Mayıs 2023 de yayınladığı “2023 Kamu Bilgi ve İletişim Teknolojileri Yatırımları Raporu”na göre kamu BİT yatırımları için toplam 21,203 Milyar TL (785 milyon dolar) ayrılmasına rağmen en fazla bütçe ayrılan (BTK iletişim altyapı projeleri, MEB FATİH projesi ... vb.) ilk 10 kurumu çıktığımızda (15,273) 5,930 milyar TL diğer tüm kurumlara ayrılmıştır. Bugün ki kurla 219,6 milyon dolardır. Kamu BİT projelerine ayrılan bütçe toplam yatırım bütçesinin %4,7 si kadardır.

Genelgenin başında sözü edilen “bilişim harcamalarından tasarruf edilmesi” zannediyorum yurtdışına giden lisans maliyetlerinden tasarruf anlamında kullanıldı. Bu maliyetlerden tasarruf edilerek daha çok yerli yazılıma, açık kaynağa, insan kaynağına ve yeni BT projelerine yatırım yapılmak istendi. Öteki türlü ister BİT’nin toplam yatırımlar içerisindeki payına bakalım isterse dolar bazında ödeneklere bakalım tasarrufun zaten yüksek olduğunu söyleyebiliriz.

Açık kaynak doğası gereği bir şeyleri güncellemek ve uyarlamak gerektirdiğinden daha fazla bilişim insan kaynağına ihtiyaç duymaktadır. Bu açıdan kamudaki bilişim insan kaynağını da eş zamanlı olarak artırmak gerekir. Karşımızda buna engel olan bir de bilişim iş göçü sorunu var bu konu ile ilgili görüşlerimi ayrıntılı bir şekilde dergimizin daha önceki sayılarında dile getirmiştim (Bknz: https://ictmedia.com.tr/yazar/icerik/630). Kamu kurumlarının bilişim alanındaki kadrolu mühendis, programcı ve sözleşmeli pozisyonlardaki istihdam kadro sayılarını oldukça yetersizdir. Bu konuda piyasa da yetişmiş personel sıkıntısı çektiğinden az sayıdaki bilişim personelini kurumlarda tutmak zorlaşmıştır.

Genelgenin amaçlarından bir diğeri siber güvenliğin güçlendirilmesi olarak sıralanmıştır. Buradaki tespitte son derece doğrudur. Kaynak koduna erişim imkânı vermeyen lisanslı ürünlerde özellikle arka kapı dediğimiz bir zafiyet öne çıkmakta. Ülkeler ya da şirketler kendi menfaatleri için bu arka kapıları kullanarak kişisel ya da tüzel hassas verilere ulaşabilmekte pazarlama ya da başka niyetlerle kullanabilmektedirler. Nitekim DDO Bilgi ve İletişim Güvenliği Rehberinde de bu duruma dikkat çekilmiş. Satın alınan yazılımların arka kapı zafiyetinin olup olmadığı denetlenmesi istenmiştir. Ancak pratikte birçok paket yazılımın kaynak koduna erişim imkânı olmadığından uygulanamamıştır. Burada unutulmaması gereken bir konu daha var, bir yazılımın açık kaynak kodlu olması o yazılımda siber güvenlik açığı olmayacağı anlamına da gelmez. Son dönemde siber saldırganlar yazılımların içerisinde kullanılan açık kaynak kodlu kütüphaneleri hedef almaktadırlar. Bunun için Software Composition Analysis (SCA) dediğimiz yazılım bileşenlerinin yapısını ve güvenliğini analiz etmek için kullanılan yöntemler ve araçlar ortaya çıkmıştır. Bu yaklaşımda, yazılımda kullanılan açık kaynak kodlu bileşenlerin güncel sürümleri veya zafiyetleri incelenir. Yazılımcıların bu açık kaynak kodlu bileşenleri nereden indirdikleri bile çok önemlidir. Saldırganlar açık kaynak kodlu yazılım parçacıklarını sunan toplulukları taklit ederek içine zararlı kod parçacıkları yerleştirdikleri kodları kendi sisteminize yüklemenizi de sağlayabilmektedirler. Öte yandan AKKY kaynaklı yazılımların kaynak kodları açık olduğundan saldırganlar bu açık kaynak kodlar üzerinde sürekli zafiyet aramakta ve doğal olarak bulmaktadırlar. AKKY kullanırken siber güvenlik açısından çok daha çevik olmak gereklidir. Sonuç olarak AKKY lisansı altında kullanılan ürünlerin siber güvenliğini sağlamak en az lisanslı ürünlerin güvenliğini sağlamak kadar zor ve emek ister. Kamu kurumları yine siber güvenlik konusunda yatırımlarını ve siber güvenlik konusunda yetişmiş bilişim insan kaynağı sayısını artırmak zorundadır.

Genelge de “Mevcut AKKY'lerin Türkiye'de faaliyet gösteren yazılım firmalarınca ve Türkiye'de istihdam edilen personel tarafından özelleştirilmesi suretiyle geliştirilen yazılımlar da yazılım lisanslama usulü itibarıyla AKKY lisanslarını kullanmıyor olsa dahi, AKKY geçiş sürecinde değerlendirmeye alınacaktır.” Denmektedir. Bu da son derece önemlidir. Günümüzde birçok yazılım açık kaynak kodlu paketler üzerinden geliştirilmektedir. Hatta şunu diyebiliriz ki günümüzde yazılım kodunun herhangi bir yerinde açık kaynak kodlu bir parçacık kullanmayan yazılıma rastlamak neredeyse imkânsızdır. Yerli yazılım geliştirme ekosistemimizde doğal olarak bu altyapıları kullanmaktadır. Lisansa ayrılan paranın yurtdışına çıkmadan ülke içinde kalarak ülke istihdamına ve AR-GE’sine katkı vermesi çok değerlidir. Bu yaklaşım belki de çok uluslu firmaların Ülkemiz içinde ucuz iş gücü ve yaşam maliyetlerini de göz önünde bulundurarak AR-GE birimleri açmasını sağlayabilir. Nasıl ki bazı yabancı menşeili araç üreticileri Türkiye’de yerli ortakları ile beraber üretim yaparak yönetmeliklerde belirtilen yerlilik oranına (%51) erişerek kamuya araç satıyorsa benzer şekilde kamuya yazılım da satılabilir. Tabi bunun için farklı destek paketlerine ve yaklaşımlara da ihtiyaç bulunmakta. Bunu bir kenara bırakırsak, Genelgede yerli yazılım ekosisteminin etkilenmemesi için de gayret sarf edildiğini bu maddeden anlamak mümkün.

 

Son söz:

" “Eğer doğru yoldaysak, o yol hep yokuş yukarı olacaktır.” Henry Eyring

 

 

ICT Media Yenal Arslan
4 Ekim 2023