Craig Guarente, CEO di Palisade Compliance LLC ed in passato direttore di dell’azienda che si occupa dei contratti in Oracle, ha confermato a SearchOracle che Oracle ha iniziato a proporre ad alcuni dei suoi clienti un nuovo tipo di contratto di licenza, la Perpetual Unlimited Licence Agreement (PULA). Guarente ha affermato che per adesso nessuno dei suoi clienti ha accettato l’offerta ma ha chiarito che la forza vendita dell’azienda statunitense sta confermando ai clienti che esiste anche questa possibilità.

Oracle offre già la Unlimited License Agreement (ULA) che consente alle aziende di acquisire, per una quota fissa, il diritto di usare in maniera illimitata uno o più prodotti della gamma di Oracle per un periodo predefinito di tempo, di solito tre anni. Trascorsi questi ultimi normalmente l’azienda effettua un audit per determinare le esigenze dei clienti ed acquisire i prodotti secondo le modalità di licenza standard.

Al contrario delle licenze ULA, gli accordi PULA sembrano invece non avere una scadenza predefinita ed il loro costo è basato su una previsione di utilizzo annuale. Tuttavia gli accordi PULA non sono solo una nuova forma di licenza d’uso ma un modello completamente nuovo di licensing per cui è difficile per adesso stabilire quali siano i casi in cui tali licenze siano convenienti o anche quanto convenienti possano essere rispetto al modello tradizionale.

Anche perché le licenze PULA costano molto di più di quelle ULA e probabilmente sono adatte alle aziende in crescita piuttosto che a quelle che sono già avviate e stabili, soprattutto perché riducono i costi di compliance e licensing, costi che aumentano nel tempo, ed elimina anche il problema di dover rinegoziare i costi con Oracle dopo qualche anno. “E’ però un prezzo molto alto da pagare per eliminare la seccatura di avere a che fare con Oracle di tanto in tanto”, ha aggiunto.

Con una mossa a sorpresa, Oracle ha rilanciato sulla causa che la vede opposta a Google relativamente alla violazione da parte di Android di proprietà intellettuale collegata a Java. L’azienda di Ellison ha chiesto al tribunale che aveva condannato Google di ricevere non meglio specificati indennizzi monetari e che a Google sia impedito di continuare a “violare la proprietà intellettuale” di Oracle.

Nel 2012 il tribunale aveva dato ragione a Google confermando così che non era possibile brevettare le API. Oracle chiedeva invece che l’uso che Android fa di Java venisse considerato come una violazione della proprietà intellettuale dell’azienda. Android è infatti basato su un kernel Linux specializzato e su una versione personalizzata della JVM, la Java Virtual Machine. Da quando Oracle ha acquisito da Sun i diritti su Java, ha combattuto ferocemente qualsiasi implementazione alternativa di Java e della JVM. Secondo Oracle, infatti, l’implementazione di Google ha come obiettivo quello di non pagare royalty a Oracle stessa e se consideriamo che Android è il leader incontrastato del mercato dei device mobili, raggiungendo l’80% della diffusione in alcune aree, si può intuire come attorno a questa querelle possano girare tantissimi soldi.

Nel 2012 la sentenza sembrava aver chiuso la partita ma qualche settimana fa, a sorpresa, la Corte d’Appello ha invece ribaltato il verdetto, affermando che le dichiarazioni del codice, la struttura e l’organizzazione delle API sono in effetti elementi protetti dalle leggi sulla proprietà intellettuale, anche se il giudizio non è stato una completa vittoria per Oracle visto che il giudice ha chiesto che venga discusso se Google abbia utilizzato questi elementi nell’ambito delle possibilità garantite dalla legge (fair use) o meno prima di decidere su eventuali indennizzi monetari ed altre conseguenze.

Google afferma che il via libera alla brevettabilità delle API infliggerebbe un colpo mortale al settore del software, creando di fatto dei “monopolisti delle API” soprattutto tra le aziende più anziane come Oracle, Apple e Microsoft. Se a queste aziende, che operano nel settore da decine di anni, fosse consentito di brevettare le API elaborate nel corso della loro storia, esse prenderebbero di fatto il controllo di ciò che può essere implementato. Il verdetto di appello è stato comunque molto controverso anche perché in tal senso l’Europa ha già deliberato la non brevettabilità del software a causa della necessità di scrivere codice simile per risolvere problemi simili.

La dichiarazione di Oracle rende ovviamente tutto più complesso perché conferma la volontà dell’azienda produttrice dell’omonimo database di andare avanti e rilanciare, spostando il suo obiettivo verso tutte le versioni di Android. Considerati i numeri del sistema di Google, usato da centinaia di milioni di dispositivi nel mondo, la definizione di questo caso potrebbe cambiare il panorama complessivo sia del settore del software (qualora le API venissero considerate brevettabili) sia in quello dei device mobili.

La responsabile della sicurezza di Oracle ha pubblicato sul proprio blog un post, poi rimosso, nel quale si lamentava dei report di sicurezza che i clienti dell’azienda inviavano continuamente al suo ufficio. Mary Anne Davidson, questo il suo nome, affermava che i clienti dovrebbero smettere di sostituirsi ad Oracle e cercare vulnerabilità nei software della casa americana.

Tra l’altro, Davidson afferma che questo sia contrario all’accordo di licenza che Oracle stipula perché tali report spesso deriverebbero da un reverse-engineering del codice binario in codice sorgente, una operazione espressamente proibita ed in questi casi la casa statunitense procede a diffidare azienda ed eventuali consulenti dall’effettuare nuovamente questa operazione ed a distruggere tutte le copie dei sorgenti riprodotti.

Nel corso del post veniva evidenziato come Oracle produca certificazioni di sicurezza in relazione al proprio codice e Davidson affermava che spesso le segnalazioni si compongono di grandi stampe del loro codice che vengono prodotte con l’aiuto di tool di analisi statiche o dinamiche nelle quali vengono indicati possibili problemi di sicurezza “qui, qui e qui”. Oracle invece richiede che, per ognuna delle segnalazioni, venga aperta una richiesta separata e fornito del codice che possa dimostrare la possibile esistenza di una vulnerabilità.

Sebbene il messaggio avesse delle argomentazioni plausibili, il tono complessivo del post tradiva grande insofferenza per le preoccupazioni dei clienti riguardo a possibili falle di sicurezza nei prodotti di Oracle, al limite dello scherno. Oracle ha infatti rimosso prontamente l’elemento e comunicato che quest’ultimo è stato cancellato perché “non riflette la posizione di Oracle né la relazione che l’azienda vuole avere con i propri clienti”. Come mai la responsabile della sicurezza dell’azienda non sia allineata con le posizioni di Oracle e non gestisca correttamente le relazioni con i propri clienti rimane comunque un interrogativo al quale non è stata data risposta.