Kiedy depozyt kodu źródłowego jest wymagany w umowie na oprogramowanie obronne?

Depozyt kodu źródłowego jest wskazany zawsze, gdy zamawiająca organizacja nie jest w stanie samodzielnie zbudować, modyfikować ani utrzymywać oprogramowania w przypadku zaprzestania działalności przez dostawcę. W przypadku programów obronnych z cyklami życia wynoszącymi 10 lat lub więcej — co dotyczy większości oprogramowania platformowego, C2 i ISR — depozyt stanowi podstawę ciągłości działania, a nie opcjonalną klauzulę. Depozyt staje się obowiązkowy, gdy: oprogramowanie jest dostarczane przez jednego dostawcę bez realnego zamiennika w horyzoncie 12 miesięcy, poziom tajności programu ogranicza, którzy wykonawcy mogą przejąć obsługę serwisową, lub oprogramowanie steruje funkcjami krytycznymi dla bezpieczeństwa lub misji.

Jakie wymagania dotyczące czasu reakcji na CVE powinna zawierać umowa na oprogramowanie wojskowe?

Umowy serwisowe na oprogramowanie obronne powinny określać okna reagowania na CVE powiązane z wynikami CVSS. CVSS 9.0–10.0 (krytyczny): powiadomienie dostawcy w ciągu 24 godzin od publicznego ujawnienia, łatka dostępna w ciągu 72 godzin lub kompensujące środki kontrolne udokumentowane w tym samym oknie. CVSS 7.0–8.9 (wysoki): łatka dostępna w ciągu 14 dni. CVSS 4.0–6.9 (średni): łatka dostępna w ciągu 45 dni. CVSS poniżej 4.0 (niski): dołączone do kolejnego zaplanowanego wydania serwisowego. Podatności zero-day eksploatowane w środowisku przed publicznym ujawnieniem wymagają klauzuli natychmiastowego powiadomienia z określonym kontaktem do eskalacji.

Jakie klauzule wyjścia i przejścia powinna zawierać umowa na oprogramowanie obronne?

Klauzule wyjścia muszą obejmować cztery obszary. Przenośność danych: wszystkie dane operacyjne muszą być eksportowalne w udokumentowanych, nieproprietarnych formatach w określonym oknie (zazwyczaj 30–90 dni po rozwiązaniu umowy). Pomoc przy migracji: dostawca musi zapewnić wsparcie techniczne dla przejścia na system zastępczy przez określony okres nakładania, zazwyczaj 6–12 miesięcy. Transfer wiedzy: dostawca musi dostarczyć aktualną dokumentację techniczną, instrukcje operacyjne i szkolenia zamawiającej organizacji lub wyznaczonemu wykonawcy zastępczemu. Przeżywalność licencji: licencje na dane operacyjne, modele pochodne i artefakty konfiguracyjne muszą przetrwać rozwiązanie umowy.

Umowy serwisowe na oprogramowanie obronne: co negocjować

Q: Jakie czasy reakcji SLA powinna określać umowa serwisowa na oprogramowanie obronne?

Umowa serwisowa na oprogramowanie obronne powinna definiować co najmniej trzy poziomy priorytetu. P1 (krytyczny — system misji niedostępny lub ryzyko utraty danych): wstępna reakcja w ciągu 1–2 godzin, a naprawa lub obejście problemu w ciągu 4–8 godzin. P2 (poważny — znaczna degradacja możliwości, ale istnieje obejście problemu): wstępna reakcja w ciągu 4 godzin i rozwiązanie w ciągu 24–48 godzin. P3 (drobny — usterki kosmetyczne lub o niskim wpływie): potwierdzenie w ciągu 1 dnia roboczego i rozwiązanie w ramach kolejnego zaplanowanego wydania serwisowego. Zegary SLA powinny działać 24/7 dla P1 i P2 niezależnie od godzin pracy lub stref czasowych.

Większość zamówień na oprogramowanie obronne poświęca znaczny wysiłek fazie pozyskania — ocenie technicznej, wyborowi źródła i udzieleniu kontraktu — traktując umowę serwisową jako drugorzędne formalności. To podejście jest odwrotne. Decyzja o pozyskaniu określa, co kupujesz. Umowa serwisowa określa, czy będziesz mógł z tego korzystać za pięć lat, czy masz środki prawne, gdy dostawca przestanie to wspierać, i czy twój program przetrwa niewypłacalność dostawcy bez utraty zdolności operacyjnej.

System oprogramowania obronnego pozyskany w 2026 roku będzie prawdopodobnie nadal w użyciu w 2036 lub 2040 roku. Dostawca, który go napisał, mógł zostać przejęty, zmienić rynek lub całkowicie zaprzestać działalności. Oprogramowanie zgromadzi CVE. System operacyjny, na którym działa, przejdzie przez wiele cykli zakończenia wsparcia. Zespół inżynierów, który je zbudował, ulegnie rotacji. Żadne z tych zjawisk nie jest niezwykłe — to po prostu to, co dzieje się w trakcie 15-letniego cyklu życia programu. Dobrze skonstruowana umowa serwisowa na oprogramowanie obronne to mechanizm utrzymujący zdolność operacyjną w trakcie tych wszystkich zmian.

Dlaczego umowy serwisowe zawodzą w programach obronnych

Komercyjne umowy serwisowe na oprogramowanie są projektowane dla krótkotrwałych produktów SaaS, w których dostawca kontroluje środowisko, a klient może zmienić dostawcę w ciągu kilku tygodni. Programy obronne niemal w ogóle nie posiadają tych cech. Systemy są sklasyfikowane lub działają w środowiskach air-gap, gdzie zewnętrzni wykonawcy serwisowi nie mogą po prostu uzyskać dostępu do instancji produkcyjnej. Harmonogramy zastąpienia są mierzone w latach, nie tygodniach. Oprogramowanie mogło zostać tak rozległe zmodyfikowane, że niewiele przypomina komercyjny produkt dostawcy.

W rezultacie standardowe komercyjne umowy serwisowe zawodzą programy obronne w przewidywalny sposób. Nie definiują poziomów priorytetu odpowiadających rzeczywistości operacyjnej. Nie uwzględniają harmonogramów łatania bezpieczeństwa dla podatności w zależnościach stron trzecich. Nie wymagają od dostawcy utrzymywania starszych wersji podczas testowania modernizacji programu. Nie zawierają postanowień dotyczących depozytu kodu źródłowego, które pozwoliłyby programowi kontynuować działanie, gdyby dostawca zniknął. I zawierają klauzule wyjścia, które w praktyce uniemożliwiają uporządkowane przejście na system zastępczy.

Zrozumienie tych trybów awarii przed sporządzeniem umowy jest punktem wyjścia do uzyskania właściwych warunków.

Struktura SLA: poziomy priorytetu i okna reakcji

Najczęstszą wadą umów serwisowych na oprogramowanie obronne jest jeden, zunifikowany poziom wsparcia z niejasnym zobowiązaniem dotyczącym czasu reakcji. System zapewniający świadomość sytuacyjną dla rozmieszczonej jednostki wymaga zasadniczo innego zobowiązania reagowania, gdy całkowicie przestaje działać, niż gdy funkcja eksportu raportów generuje zły format daty. Traktowanie obu jako tego samego priorytetu albo przepłaca za błahe problemy, albo nie chroni przed rzeczywistymi awariami operacyjnymi.

Dobrze ustrukturyzowane SLA dla oprogramowania obronnego definiuje co najmniej trzy poziomy priorytetu.

P1 — krytyczny

P1 ma zastosowanie, gdy system jest całkowicie niedostępny, integralność danych jest zagrożona lub podatność bezpieczeństwa jest aktywnie eksploitowana. Umowa powinna określać wstępną reakcję — czyli zaangażowanie wykwalifikowanego inżyniera, który potwierdził problem — w ciągu jednej do dwóch godzin. Naprawa lub udokumentowane obejście problemu powinny być dostarczone w ciągu czterech do ośmiu godzin. SLA P1 muszą obowiązywać w trybie 24/7 bez wyłączeń dla weekendów, dni ustawowo wolnych od pracy ani różnic stref czasowych. Umowa powinna wskazywać kontakty do eskalacji — nie tylko kolejkę wsparcia — i określać, że eskalacja P1 omija standardowe procesy przyjmowania zgłoszeń.

P2 — poważny

P2 ma zastosowanie, gdy znaczna możliwość jest zdegradowana, ale system pozostaje częściowo operacyjny i istnieje obejście problemu. Wstępna reakcja w ciągu czterech godzin, rozwiązanie w ciągu 24 do 48 godzin. SLA P2 powinny również obowiązywać w sposób ciągły, a nie tylko w godzinach pracy, ponieważ zdegradowana zdolność operacyjna szybko się kumuluje w środowisku operacyjnym.

P3 — drobny

P3 obejmuje usterki o niskim wpływie operacyjnym — nieprawidłowe wyświetlanie danych wyjściowych, niekrytyczne błędy raportów, kwestie kosmetyczne. Potwierdzenie w ciągu jednego dnia roboczego, rozwiązanie dołączone do kolejnego zaplanowanego wydania serwisowego. P3 to jedyny poziom, dla którego pomiar w godzinach pracy jest właściwy.

Poza oknami reakcji umowa powinna określać harmonogramy dostarczania łatek oddzielnie od ogólnego rozwiązywania usterek. Kadencja łatek powinna być zdefiniowana jako maksymalny interwał między zaplanowanymi wydaniami serwisowymi — 90 dni to powszechny punkt odniesienia dla systemów obronnych — z postanowieniem dotyczącym awaryjnych łatek poza harmonogramem dla krytycznych podatności bezpieczeństwa.

Depozyt kodu źródłowego: ochrona ciągłości wobec ryzyka dostawcy

Depozyt kodu źródłowego to pojedyncza najbardziej niedoceniana klauzula w umowach na oprogramowanie obronne. To również ta, której brak powoduje najpoważniejsze konsekwencje. Gdy dostawca oprogramowania obronnego zostaje przejęty przez konkurenta, który wycofuje produkt, lub po prostu bankrutuje, program bez postanowień dotyczących depozytu traci możliwość budowania, modyfikowania lub samodzielnego utrzymywania własnego oprogramowania. W środowisku niejawnym, gdzie wykonawca następca nie ma dostępu do oryginalnego środowiska deweloperskiego dostawcy, nie jest to sytuacja możliwa do naprawienia bez wieloletniego wysiłku ponownego pozyskania.

Układ depozytowy wymaga od dostawcy złożenia kodu źródłowego oprogramowania, skryptów budowania, zestawów testów, manifestów zależności stron trzecich i specyfikacji środowiskowych u niezależnego, akredytowanego depozytariusza. Depozyt jest przechowywany przez depozytariusza i udostępniany zamawiającej organizacji tylko po spełnieniu zdefiniowanych warunków wyzwalających.

Definiowanie warunków wyzwalających depozyt

Warunki wyzwalające muszą być wystarczająco szczegółowe, aby były obiektywnie weryfikowalne. Standardowe warunki wyzwalające obejmują: niewypłacalność dostawcy lub wniosek o ogłoszenie upadłości; przejęcie dostawcy przez konkurenta, który wycofuje produkt; pisemne ogłoszenie dostawcy o zakończeniu wsparcia dla produktu; oraz każdy ciągły 12-miesięczny okres, w którym dostawca nie dostarcza żadnych wydań serwisowych. Niejasne warunki — "dostawca przestaje wspierać produkt" — rodzą spory, gdy dokładnie to nastąpi. Warunki muszą być zdefiniowane tak, aby można je było wywołać bez zgody dostawcy.

Weryfikacja przydatności depozytu

Depozyt, który nie może wytworzyć działającego kompilatu, jest bezwartościowy. Umowa musi wymagać corocznej weryfikacji depozytu: niezależnego testu kompilacji, w którym zdeponowane materiały są używane do odtworzenia oprogramowania w czystym środowisku. Zamawiająca organizacja lub wyznaczona strona trzecia przegląda wyniki. Dostawcy, którzy nie mogą coroczne przejść weryfikacji depozytu, powinni być uznani za naruszających umowę serwisową. Depozyt nie jest usługą przechowywania — to mechanizm ciągłości, który działa tylko wtedy, gdy depozyt jest udowodniony jako możliwy do zbudowania.

Zobowiązania dotyczące łatek bezpieczeństwa i reagowanie na CVE

Wymagania dotyczące łatania bezpieczeństwa w większości komercyjnych umów serwisowych na oprogramowanie są pisane dla środowisk IT przedsiębiorstw, gdzie aktualizacje można testować i wdrażać w cyklu tygodniowym. Programy obronne nie mogą tego robić. Testowanie łatki bezpieczeństwa w środowisku niejawnym przed wdrożeniem może zająć od czterech do sześciu tygodni. Wdrożenie w rozproszonej sieci air-gap zajmuje dodatkowy czas. Umowa serwisowa musi uwzględniać tę asymetrię.

Punktem wyjścia jest powiązanie zobowiązań dotyczących dostarczania łatek z wynikami CVSS. Realistyczny punkt odniesienia dla serwisowania oprogramowania obronnego: CVSS 9.0–10.0 (krytyczny) wymaga powiadomienia dostawcy w ciągu 24 godzin od publicznego ujawnienia i łatki lub udokumentowanego środka łagodzącego w ciągu 72 godzin. CVSS 7.0–8.9 (wysoki) wymaga łatki w ciągu 14 dni. CVSS 4.0–6.9 (średni) dopuszcza do 45 dni. CVSS poniżej 4.0 jest dołączony do kolejnego zaplanowanego wydania serwisowego.

Równie ważne jest wymaganie proaktywnego powiadomienia o zero-day. Jeśli dostawca dowie się o exploitowanej podatności w oprogramowaniu przed jej publicznym ujawnieniem — przez własne reagowanie na incydenty, raport klienta lub jakikolwiek inny kanał — umowa serwisowa powinna zobowiązywać go do powiadomienia wyznaczonego kontaktu bezpieczeństwa zamawiającej organizacji w ciągu 24 godzin. To niestandardowa klauzula, której dostawcy będą się opierać. Nie należy z niej rezygnować w trakcie negocjacji.

Umowa powinna również wymagać od dostawcy utrzymywania aktualnego zestawienia składników oprogramowania (SBOM) — pełnego inwentarza bibliotek stron trzecich, frameworków i zależności zawartych w produkcie. CVE w zależnościach stron trzecich stanowią większość exploitowalnych podatności w większości systemów oprogramowania obronnego. Bez SBOM zamawiająca organizacja nie może niezależnie śledzić ekspozycji dostawcy ani weryfikować, czy zobowiązania dotyczące łatek są spełniane. Wymaganie aktualizacji SBOM przy każdym wydaniu serwisowym jest rozsądne i technicznie proste dla każdego dostawcy obsługującego nowoczesny potok budowania.

Klauzule wyjścia i przejścia

Klauzule przejścia to postanowienia decydujące o tym, czy możliwa jest uporządkowana migracja do systemu zastępczego. Są one również jednymi z najczęściej eliminowanych podczas negocjacji umownych, ponieważ dostawca nie ma interesu w ułatwianiu własnego zastąpienia. Zespoły ds. zamówień, które akceptują skromne klauzule wyjścia, płacą za to lata później, gdy koszty przejścia rosną, a programy są zakładnikami współpracy dotychczasowego dostawcy.

Kompletne ramy wyjścia i przejścia obejmują cztery obszary.

Przenośność danych. Wszystkie dane operacyjne generowane przez system — historię śledzeń, dzienniki misji, stany konfiguracji, przetworzone produkty wywiadowcze — muszą być eksportowalne w udokumentowanych, nieproprietarnych formatach w określonym oknie po rozwiązaniu umowy, zazwyczaj 30 do 90 dni. Umowa powinna wyraźnie określać formaty: jeśli CSV i JSON są akceptowalne, należy je wpisać. "Standardowe formaty" nie są wystarczająco precyzyjne, aby były egzekwowalne.

Pomoc przy migracji. Dostawca musi zapewniać aktywne wsparcie techniczne dla integracji lub migracji do systemu zastępczego przez określony okres nakładania — sześć do dwunastu miesięcy to standardowy zakres dla złożonego oprogramowania obronnego. Obejmuje to odpowiadanie na pytania techniczne od wykonawcy zastępczego, dostarczanie dokumentacji API, która może nie znajdować się w publicznej dokumentacji produktu, oraz pomoc przy walidacji migracji danych.

Transfer wiedzy. Dostawca musi dostarczyć zaktualizowaną dokumentację techniczną — diagramy architektury, instrukcje wdrożenia, przewodniki konfiguracyjne — oraz zapewnić minimalnie określoną liczbę godzin szkolenia technicznego wykonawcy następcy lub zespołowi wewnętrznemu. "Dokumentacja" musi być zdefiniowana: jakie dokumenty, w jakiej aktualności wersji, w jakim formacie. Materiały transferu wiedzy powinny być wymienione jako pozycje w zestawieniu prac z kryteriami akceptacji, a nie opisane w ogólnych warunkach.

Przeżywalność licencji. Wszystkie licencje na dane operacyjne, przetworzone produkty analityczne, wagi wytrenowanych modeli, jeśli obecne są komponenty AI, i artefakty konfiguracyjne muszą przetrwać rozwiązanie umowy. Jest to szczególnie ważne dla każdego systemu, który buduje wartość operacyjną w czasie — system fuzji śladów, którego modele fuzji zostały wytrenowane na danych operacyjnych, stanowi znaczącą inwestycję należącą do zamawiającej organizacji, a nie do dostawcy.

Gwarancje wydajności i SLA dotyczące dostępności

SLA dotyczące dostępności krytycznego oprogramowania obronnego wymagają znacznie większej precyzji niż prosty wskaźnik czasu sprawności. Zobowiązanie dotyczące dostępności na poziomie 99,9% brzmi mocno, ale dopuszcza prawie dziewięć godzin przestoju rocznie — co skoncentrowane w jednym incydencie w nieodpowiednim momencie może mieć poważne konsekwencje operacyjne. Co ważniejsze, klauzula dostępności bez zdefiniowanej metodologii pomiaru jest praktycznie nieegzekwowalna.

Metodologia pomiaru musi określać, co stanowi przestój, jak jest śledzone i jak jest weryfikowane. "Przestój" powinien być zdefiniowany w kategoriach wpływu na usługę — czy system zdegradowany do 30% normalnej przepustowości jest liczony jako "dostępny"? — a nie w kategoriach stanu systemu. Pomiar powinien być ciągły i automatyczny, a nie raportowany przez dostawcę. Umowa powinna określać, kto ma dostęp do metryk dostępności i jak rozwiązywane są spory dotyczące zgłaszanych danych.

Klauzule karne muszą tworzyć realną finansową motywację do spełniania celów SLA. Kredyty usługowe w wysokości 5% do 15% miesięcznej wartości umowy za każdy punkt procentowy niedotrzymania SLA dostępności to rozsądny zakres. Struktura kar powinna eskalować w przypadku powtarzających się naruszeń w kolejnych okresach — dostawca, który stale nie dotrzymuje celów o niewielki margines, płacąc kredyty, ma mniejszą motywację do inwestowania w niezawodność niż ten, który stoi w obliczu rosnących konsekwencji finansowych.

Umowa powinna również wymagać pisemnego planu naprawczego w ciągu pięciu dni roboczych od każdego naruszenia SLA P1. Plan musi dokumentować przyczynę źródłową, podjęte działania korygujące i wdrażane środki zapobiegawcze mające na celu uniknięcie powtórzenia. Plany naprawcze pełnią dwie funkcje: tworzą dokumentację dla nadzoru programu i dają zamawiającej organizacji wczesne ostrzeżenie o systemowych problemach z niezawodnością, zanim się nawarstwiają.

W przypadku systemów działających w środowiskach air-gap lub z ograniczoną łącznością, ramy SLA dotyczące dostępności wymagają oddzielnej specyfikacji trybu zdegradowanego. Jakie jest oczekiwane zachowanie systemu, gdy połączność z usługami centralnymi jest niedostępna? Jaki jest maksymalny autonomiczny okres działania? To nie są standardowe pytania SLA dotyczące dostępności — wymagają one specyficznego dla obrony aneksu do umowy serwisowej, który definiuje granice operacyjne w realistycznych warunkach polowych.

Aby uzyskać dodatkowy kontekst dotyczący oceny dostawców przed udzieleniem kontraktu — w tym jak ocenić zdolności wsparcia i długoterminową żywotność przed podpisaniem umowy serwisowej — zapoznaj się z naszym przewodnikiem dotyczącym oceny dostawców oprogramowania obronnego. W kwestii szerszego cyklu zamówień, w tym tego, jak postanowienia serwisowe wpisują się w pełną strukturę umowy, przewodnik od RFP do kontraktu w zamówieniach obronnych obejmuje cały proces od początku do końca.

Okresy wypowiedzenia EOL i okna wsparcia wersji

Programy obronne nie mogą przyjąć 90-dniowego okresu wypowiedzenia dla zakończenia wsparcia produktu. Cykl zamówień potrzebny do zidentyfikowania, oceny i zakontraktowania systemu zastępczego trwa od 12 do 24 miesięcy w większości środowisk obronnych. Umowa serwisowa, która pozwala dostawcy zakończyć wsparcie z 90-dniowym wypowiedzeniem, zostawia program potencjalnie bez wsparcia przez większą część dwóch lat. Minimalny opłacalny okres wypowiedzenia EOL dla krytycznego dla misji produktu oprogramowania obronnego wynosi 24 miesiące — wystarczająco dużo czasu, aby zakończyć konkurencyjne zamówienie na zastępstwo.

Okna wsparcia wersji to powiązana i często zaniedbywana kwestia. Programy obronne często nie mogą dokonywać aktualizacji zgodnie z preferowanym harmonogramem dostawcy. Ponowna akredytacja regulacyjna, testy integracyjne w środowiskach niejawnych i wysiłek inżynieryjny wymagany do walidacji nowej wersji mogą wydłużyć harmonogramy aktualizacji o 12 do 18 miesięcy poza wydaniem GA dostawcy. Umowa serwisowa musi określać, ile poprzednich wersji głównych dostawca będzie jednocześnie wspierał i jak długo po wydaniu nowej wersji głównej. Dwie poprzednie wersje główne utrzymywane przez 24 miesiące po wydaniu to dający się obronić punkt odniesienia dla złożonego oprogramowania obronnego.

Podejście Corvus Intelligence do długoterminowego wsparcia

Corvus Intelligence projektuje swoje produkty oprogramowania obronnego z długoterminowym wsparciem jako wymaganiem pierwszorzędnym — a nie myślą przewodnią dodaną na końcu. Nasze umowy serwisowe są budowane na ustrukturyzowanych poziomach priorytetu, łataniu bezpieczeństwa opartym na SBOM, umownym depozycie kodu źródłowego i klauzulach przejścia, które stawiają ciągłość zamawiającej organizacji ponad uzależnienie od dostawcy.

Poznaj Corvus Intelligence →

Umowy serwisowe na oprogramowanie obronne: co zawrzeć i negocjować