В «вашем» софте, вот в том самом, который ваша компания разрабатывает и продает клиентам, есть иностранный софт. Причем из самых, что ни на есть, недружественных мест. Это актуально для большинства российских ИТ-компаний. Хотя конечно не только российских – так в принципе сфера разработки устроена. Там уже лет 10-20 почти никто почти ничего «с нуля» не пишет, все на OSS-библиотеках и прочих палках работает. Потому что работает и «что вам еще нужно?».
А нужно безопасность и гарантии, а не только удобство (для разработчиков). Про гарантии в разрезе OSS под GPL и прочими вещами мы как-то уже писали. Но то было больше про теорию, до которой еще дожить. А если практика и встречалась, то не страшная. Ну подумаешь, какой-то там заморский правообладатель свободной лицензии что-то там захочет нам запретить коммерциализировать... глупости какие, оторвался от реальности, романтик правовой, сразу видно.
Но совсем другое дело, когда вполне себе серьезный отечественный орган, а именно Минцифра, начинает интересоваться этими вещами. Например, а как там у вас дела с этим самым опенсорсом, как вы соблюдаете положения лицензии? Вопросы так себе, особенно в контексте (не)попадания вашего софта в Реестр. Это вдобавок к уже имеющимся критериям отечественности.
И выяснится, скорее всего, что никак вы их не соблюдаете. Ну как выяснится… Те в компании, кто знает и понимает, что (и зачем) нужно соблюдать, и так это знают, но не имеют никакого прямого отношения ни к разработке, ни к коммерциализации этого софта. А те, кто имеют – они про разработку и, соответственно, продажи и думают, а не про вот это вот все, даже если тоже все знают и понимают.
И встает дилемма – как не обвалить продажи (и не обнулить налоговые льготы) хорошо продаваемого (причем и по B2G линии) и вполне себе рабочего продукта, который на Х% собран из OSS, но при этом, само собой, не подчиниться этим заморским требованиям по наследованию лицензии и т.п. Потому как эта самая «открытость» – ну это такое, неоднозначное. И что же остается? Остается убирать все куски заразного OSS. И чем-то их как-то заменять. Чтобы еще и работать не перестало, и с отечественными ОС в перспективе дружило, и так далее.
И такое делают. Не часто (пока), но а какие еще варианты? Можно конечно начать вообще все с нуля переписывать, но покусочное переписывание возможно проще (но это не точно).
При этом вне зависимости от того, заменяете вы куски OSS или целиком делаете новую версию продукта – вам по итогу упражнения нужно быть уверенным, что оно чистое в лицензионном смысле. И чистое не только по бумагам (и отсутствию копирайтов в коде), но и фактически не содержит заразный код. Ведь эксперты Минцифры не только бумаги смотрят, но и тот самый код разбирают весьма профессионально, если нужно.
В общем без независимой проверки вашего когда после вычистки и перед подачей на регистрацию в Реестр скоро будет очень рисково. А проверка такая – это по сути компьютерно-техническая экспертиза.