Poważne oskarżenia wystosował pod adresem Polskiej Wytwórni Papierów Wartościowych (PWPW) Piotr Majkrzak, użytkownik serwisu GitHub, który szybko zyskał poparcie innych osób, w tym twórcy wykorzystanego przez instytucję kodu. W rozwojowej sprawie wskazuje się, że MSWiA bezprawnie wykorzystało cudzy kod źródłowy w oprogramowaniu e-Dowodów. Wiadomość w tej sprawie, skierowana do sekretariatu PWPW, pozostaje bez odpowiedzi już od 6 marca 2019 roku.
PWPW w swoim oprogramowaniu miała zastosować fragmenty oprogramowania OpenSC w sposób, który narusza jego licencję. Piotr Majkrzak wskazuje komponent e-dowod-pkcs11-64.so, jako skopiowany z jednej z bibliotek OpenSC. OpenSC stanowi zestaw różnych bibliotek i narzędzi programistycznych umożliwiający obsługę kart inteligentnych, także z obsługą szyfrowania, i pozwalający na stosowanie ich do autoryzacji i podpisów elektronicznych.
Polska Wytwórnia Papierów Wartościowych nie dołączyła OpenSC do oprogramowania e-Dowodu jako osobnej biblioteki, a skompilowała ją statycznie do swojej aplikacji. Towarzysząca OpenSC licencja LGPL stanowi wyraźnie, iż należało zarówno podać treść licencji, jak i kod źródłowy aplikacji. Gdyby biblioteka modyfikowana nie była, kodu źródłowego nie należałoby udostępniać.
Pan Majkrzak wystosował do PWPW prośbę o udostępnienie kodów.
„Witam
Proszę o udostępnienie kodu źródłowego aplikacji e-dowód Menedżer a w szczególności komponentów opartych na otwartych licencjiach., jak np.: e-dowod-pkcs11-64.so na LGPL
Z poważaniem
Piotr Majkrzak”
W odpowiedzi otrzymał wiadomość:
„Szanowny Użytkowniku,z przyczyn bezpieczeństwa, kody źródłowe aplikacji objęte są tajemnicą przedsiębiorstwa i nie mogą być udostępniane. Zespół eDO”
Maila do PWPW wysyłał także Michał Kowalski, który odpowiedzi się nie doczekał. Wiadomość zamieszczamy poniżej:
Rozwój sytuacji można śledzić w poświęconym jej wątku w serwisie GitHub, gdzie wypowiada się również twórca oprogramowania. Wspomina on, że podobny problem miał kiedyś z nielegalnym wykorzystaniem jego pracy przez policję hiszpańską. Dyskusja na ten temat prowadzona jest także na Reddicie.
Gdy Ministerstwo Cyfryzacji lub PWPW odniosą się do sprawy w odpowiedzi na naszą wiadomość, niezwłocznie Was o tym poinformujemy.
Źródło: GitHub