Kildekoden til produkter som Windows og Office er Microsofts forretningshemmeligheter.
Lukket kode er viktig for Microsofts forretningsmodell, men kildekoden er ikke så hemmelig at den er låst ned i et bankhvelv.
Faktisk er det mange som har tilgang til selskapets ukompilerte programvarekode, inkludert norske myndigheter.
Hvem gis tilgang og hvorfor? Og hva bruker de tilgangen til?
I en årrekke har Microsoft tilbudt kode-innsyn gjennom det såkalte «shared source»-initiativet. Kundene er blant annet stater verden over.
- Til en viss grad skyldes det at vi vil imøtegå friprog-argumentet med innsyn, men hovedargumentet er sikkerhet, rikets sikkerhet, militær sikkerhet, helsesikkerhet, sier teknologiekspert Rune Zakariassen i Microsoft til digi.no.
Han bekrefter at norske myndigheter gjennom Nasjonal sikkerhetsmyndighet (NSM) har hatt tilgang til Microsofts kildekode i mange år gjennom det såkalte «Goverment Security Program».
Her åpnes det for tilgang til absolutt all Windows- og Office-kildekode, inkludert kryptografi og utviklingsverktøy (avhengig av USAs eksportrestriksjoner).
- Tilgangen er underlagt non-disclosure [taushetsavtaler]. Vi gir jo tilgang til forretningshemmelighetene våre, sier Zakariassen.
Bakgrunnen er at Microsoft leverer produkter som er del av det myndighetene regner som kritisk infrastruktur.
Som leverandør må altså programvaregiganten Microsoft balansere mellom behovet for å bevare hemmelighetene sine mot innsyn fra konkurrenter, samtidig som de må spille på lag med kundene.
- Vi kan få tilgang til kildekoden hvis vi ønsker å sjekke opp mot bruk i ulike systemer. Det kan være for å se etter sikkerhetssvakheter eller ting vi må ta høyde for. Bruk av Office-pakken i et gradert system, for eksempel, sier pressekontakt Kjetil Berg Veire i NSM.
Kunnskap går begge veier
Det er ulike årsaker til at kundene ønsker tilgang. Eksempler kan være testing av kundens egne løsninger, forsikring om hvordan systemene er bygd opp, læring og utdannelse, feilsøking, driverutvikling med mer.
- Det er også en toveis-kommunikasjon og tilbakemeldinger fra kunder til våre utviklere, sier Ole Tom Seierstad i Microsoft Norge.
Kryptert transport
Det er ulike lisensbetingelser knyttet opp mot programmene. Mens noe av koden kan lastes ned og kompileres (Windows CE, embedded/mobile), så er annen underlagt et strengere regime.
- Tilgang over nettet til vårt Code Center Premium ved hjelp av smartkort og kryptert transport. Det sendes ikke ut noe kildekode, men deltagerne har mulighet til å søke gjennom koden og debugge i Visual Studio, forklarer Seierstad.
Også innen forskning og akademia gis det tilgang til Microsofts kildekode, eller deler av den. Typisk uten kryptografiske løsninger.
- Her er det behov for tilgang av helt andre årsaker. Det kan være for å forstå algoritmer, gjøre research, det behøver ikke ha med sikkerhet å gjøre. Siden 2000 har vi tilbudt studenter muligheten til å studere Windows-kjernen for eksempel.
- Gjennom en akademisk lisens kan studenter endre, kompilere og til og med redistribuere kildekoden. Det eneste vi krever er at det ikke benyttes i kommersielle forhold, sier Zakariassen.
Koden ikke på avveie
Microsoft opplever som programvareleverandører flest at produktene deres spres i piratnettverk.
I forkant av Windows 7-lanseringen i fjor høst lakk det ut flere såkalte builds eller betaversjoner enn noen gang tidligere. Men dette er ferdig kompilert kode, og stammer ikke fra innsynsprogrammet.
- Dette er ikke typisk lekkasjer fra Microsoft. Jeg antar at det kan ha opphav fra noen av samarbeidspartnerne våre, sier Rune Zakariassen.
Den fulle kildekoden til Windows skal aldri ha blitt spredt offentlig, ikke utenfor programmene med en avtale med juridisk binding, ifølge Zakariassen.
Les også:
- [31.07.2014] – Gi oss kildekoden
- [10.06.2010] Alvorlig bekymret for Norges IKT-sikkerhet
