İnsülin pompamı kontrol eden cihaz Linux çekirdeği kullanıyor ama GPL’yi ihlal ediyor

 (old.reddit.com)
1 puan yazan GN⁺ 2025-12-27 | 1 yorum | WhatsApp'ta paylaş
  • İnsülin pompasını kontrol eden tıbbi cihaz denetleyicisi, Linux çekirdeği temelinde çalışıyor
  • Söz konusu cihaz, GPL (Genel Kamu Lisansı) koşullarına uymadığı için lisans ihlali durumunda
  • Kullanıcılar, kaynak kodunu yayımlama yükümlülüğünün yerine getirilmemesini sorun olarak gösteriyor
  • Toplulukta, açık kaynak yazılımın şeffaflığı ile tıbbi cihazların güvenilirliği birlikte tartışılıyor
  • GPL ihlali, tıbbi cihaz alanında açık kaynak kullanımının sınırlarını ortaya koyan bir örnek olarak dikkat çekiyor

Linux çekirdeği tabanlı insülin pompası denetleyicisi

  • İnsülin pompasını kontrol eden cihazın Linux çekirdeği kullandığı görülüyor
    • Cihaz, insülin dozunu otomatik olarak ayarlama işlevi görüyor
    • Linux çekirdeğinin gömülü olduğu kullanıcı tarafından doğrulanmış durumda
  • Söz konusu cihaz GPL lisans koşullarını ihlal ediyor
    • GPL, çekirdeği kullanan ürünlerin kaynak kodunu yayımlama yükümlülüğü taşıdığını öngörüyor
    • Ancak bu cihaz, kaynak koda erişim olmadan satışa sunuluyor

GPL ihlali sorunu ve açık kaynak şeffaflığı

  • Kullanıcılar, GPL ihlaline dikkat çekerek kaynak kodunun yayımlanmasını talep ediyor
    • Çekirdeğin kullanıldığı açıkça ortada olmasına rağmen üretici kodu sağlamıyor
  • Toplulukta, tıbbi cihaz üreticilerinin açık kaynak yükümlülüklerini görmezden gelmesi eleştiriliyor
    • GPL ihlali, yalnızca hukuki bir mesele olmanın ötesinde kullanıcı güvenliği ve güvenilirliği de etkiliyor

Tıbbi cihazlar ile açık kaynağın çatışması

  • Tıbbi cihaz sektöründe kapalı firmware politikaları yaygın
    • Bu da açık kaynak topluluğuyla hukuki ve etik çatışmalara yol açıyor
  • Linux çekirdeği kullanan tıbbi cihazlardaki GPL ihlali, şeffaflık eksikliğinin temsilî bir örneği olarak anılıyor
    • Açık kaynak tabanlı teknolojiler tıbbi cihazlara uygulanırken yayınlama yükümlülüğüne uyulması önemli

Topluluk tepkisi

  • Bazı kullanıcılar GPL uyumluluğunun zorla sağlanmasını istiyor
    • Üreticinin çekirdek kaynak kodunu yayımlaması gerektiği görüşü dile getiriliyor
  • Diğer kullanıcılar ise tıbbi cihaz güvenliği ile hukuki sorumluluk meselesini birlikte tartışıyor
    • Açık kaynak yazılımın tıbbi cihazlarda kullanımı sırasında ortaya çıkan düzenleyici boşluğa dikkat çekiliyor

Çıkarımlar

  • Bu olay, GPL ihlalinin gerçek bir tıbbi cihazda ortaya çıktığı ender örneklerden biri olarak öne çıkıyor
  • Açık kaynak topluluğu ile tıbbi cihaz sektörü arasında hukuki ve etik denge ihtiyacını gösteriyor
  • Gelecekte Linux çekirdeği kullanan ürünlerde lisans uyumluluğunun güçlendirilmesi gerektiği vurgulanıyor

İlgili okumalar

1 yorum

 
GN⁺ 2025-12-27
Hacker News yorumları
  • GPLv2 ile lisanslanmış çekirdek kaynak kodunu Insulet'ten talep etmeye çalıştım
    Ancak sadece “GPL var, o halde kaynağı vermek zorundalar” demek bir yanlış anlama
    Aslında şirketin kullanıcıya ‘yazılı teklif (written offer)’ göndermesi gerekir ve kullanıcı bu teklife dayanarak kaynak kodunu talep edebilir
    Şirket teklifi gönderip yerine getirmezse bu sözleşme ihlali olur, ama en başta teklifin kendisini hiç göndermediyse bu GPL ihlali sayılır (hukuk uzmanı değilim)
    • Bu hâlâ hukuken netleşmemiş bir mesele
      Conservancy v Vizio davasında tüketicinin GPL'yi doğrudan uygulama hakkına sahip olup olmadığı tartışılıyor
    • Yazılı teklifin 3 yıllık geçerlilik süresi, çeşitli dağıtım yöntemlerinden yalnızca biri
      Eğer teklif hiç yoksa o maddenin korumasından yararlanamazsınız ve GPL'ye başka bir yolla uymanız gerekir
    • “Yazılı teklif sözleşme ihlali midir?” sorusuna karşı, basit bir teklifin sözleşmeden farklı olduğu yönünde görüşler de var
    • ABD'de böyle bir yorum mümkün olabilir ama Almanya'da son kullanıcı da doğrudan kaynak kodunu talep edip dava açabilir
    • GPL'nin kendisi bir sözleşme olduğundan, burada ayırt edilmesi gereken şey lisans veren–lisans alan arasındaki sözleşme ile lisans alan–kullanıcı ilişkisi arasındaki fark
  • Şirket içinden birinin yazdığı üstteki yorumu mutlaka okuyun derim
    Donanım geliştirme çoğu zaman bir maliyet merkezi olarak görülüp dışarı verildiğinden, GPL taleplerini gerçekten işleyecek kimse kalmamış olması çok yaygın
    Ön hat destek ekibinin bu tür talepleri karşılayacak yetkinliği olmuyor ve e-posta içeride dolaşıp unutulup gidiyor
    İş hukuk ekibine giderse hesap makinesini çıkarıp “bunun gerçekten hukuki riski var mı?” diye bakıyorlar ve çoğu durumda görmezden geliyorlar
    Eskiden GPL kaynaklı sorunu çok olan bir şirkette çalışırken, her sürüm için GPL tarball saklanmasını zorunlu kılmış ve destek ekibini de eğitmiştim
    Taleplerin %70'i “neden tüm kaynak kodunu vermiyorsunuz?” şeklindeki yanlış anlamadan doğan öfkeden kaynaklanıyordu
    Bu deneyim sayesinde destek ekibinin neden GPL taleplerinden hoşlanmadığını anlamaya başladım
    • Ama eğer GPL dışı kod GPL kodu ile doğrudan link ediliyorsa, o kullanıcıların şikâyetleri haklı olabilir
  • Böyle durumlarda doğru yol hukuk ekibi üzerinden avukat kanalıyla iletişime geçmek
    Mühendislerin ya da destek ekibinin şirket varlıklarını devretmeye ilişkin hukuki kararlar vermesi beklenmez
    FSF'nin hukuki dayanak ve tazminat talep sürecini içeren bir talep mektubu şablonu yayımlaması çok yardımcı olurdu
    • Buna karşı “o, şirket varlığı değil” itirazı da var
  • Eğer GPL'nin uygulandığı tek bölüm yalnızca Linux çekirdeği ise, özel bir kaynak kodu alma hakkınız neredeyse hiç olmayabilir
    Sadece çekirdeği kullanmak, userspace programlarına GPL yükümlülüğü getirmez
    Büyük olasılıkla özelleştirilmemiş bir çekirdek ile açık kaynak userspace programlarının birleşimi söz konusu
    • Öyleyse kaynak kodu sağlamak oldukça basit olmalı
    • Ayrıca GPL shim kullanan sürücü modülleri (ör. NVIDIA sürücüsü) GPL kapsamına girmez; bu yüzden yazarın neden bunu ihlal saydığını anlamıyorum
  • Bu tür lisans ihlali tartışmaları gerçekten stresli
    Eğer ihlal varsa dava açılır ve mahkeme karar verir, mesele budur
    Tıbbi bir cihazsa, birkaç yüz dolarlık bir masrafla denemeye değer olabilir
    • Ama OP büyük olasılıkla Linux çekirdeğinin telif hakkı sahibi değil
    • Ayrıca bunun birkaç yüz dolara bitecek bir dava olması da pek olası değil
  • Eğer çekirdeği doğrudan derledilerse, sadece resmî Linux çekirdeği deposu bağlantısını vermek bile yeterli olabilir
    • Ama şirket bunu ticari amaçla kendisi derlediyse, GPLv2 3(c)'nin iki koşulunu da karşılamadığı için bu maddeyi uygulayamaz
  • Acaba konu Omnipod değil mi?
    Çok sayıda geri çağırma olmuştu ve onların donanım ile yazılım kalitesine güvenmek zor
    O şirkette çalışmış olanlara saygım var ama umarım şimdi daha iyi bir yerdelerdir
  • İnsüline bağımlı olmayan biri olarak merak ettiğim şey, insülin pompasının neden telefonla kontrol edilmesi gerektiği
    Bluetooth denetleyici de kullanılabilir gibi geliyor; ille de Çin yapımı ucuz bir telefon kullanmak veri sızıntısı riski taşıyor gibi duruyor
    • Bunun sebebi güvenlik. PDM tamamen izole ve uygulama yükleme ya da Wi‑Fi bağlantısı mümkün değil
      Hatalı kontrol durumunda ölümcül insülin aşırı dozu yaşanabilir
      İlginç olan, aynı şirketin Omnipod 5 ürünü ABD'de normal akıllı telefonlarla kontrol edilebiliyor
    • Eskiden pompayı harici bir cihazla kontrol etmek için mutlaka özel bir kontrolör sağlamak gerekiyordu
      Insulet'in ayrı bir cihaz çıkarmasının sebebi buydu
      Dexcom G7 gibi CGM'ler de aynı nedenle bir ‘kontrolör’ ile birlikte satılıyor
      Son dönemde FDA bu gerekliliği gevşetti ve artık kullanıcının kendi telefonunu esas alan ürünlere de izin veriliyor
  • Aslında bu cihaz zaten tersine mühendislik (RE) ile incelenmiş durumda
    Loop, Trio, OpenAPS gibi projelere bakarsanız görebilirsiniz
    Insulet bu tür hack'lere karşı epey hoşgörülüydü
    Şu anda ihtiyaç duyulan şey Omnipod 5 için RE çalışmalarına yardımcı olmak
    • Ben de Omnipod 5 RE çalışmasını bilen birkaç kişiyle temas hâlindeyim
      Şu anki sorun, PDM/uygulamanın giriş sırasında API'den özel anahtar alıp onu keychain'e kaydetmesi ve SSL pinning ile ortadaki adam saldırılarını engellemesi
      Özel anahtarı henüz çıkaramadığımız için ilerleme yavaş
    • Minimed pompanın (780G) kan şekeri verisini okuma RE'sini denemeye çalışıyorum ama henüz tamamen çözülmedi
      Bir gün katkı sunabilmeyi umuyorum
  • Acaba böyle bir konuda FSF'ye başvuru yapılabilecek bir süreç var mı diye merak etmiştim
    Vakaları hangi ölçütlere göre seçtiklerini bilmek isterdim
    • Pratikte bu işle ilgilenen FSF değil, SFC (Software Freedom Conservancy)
      Baskın görüş, GPL'nin yalnızca telif hakkı sahibi tarafından uygulanabileceği yönünde
      SFC, Vizio davasıyla son kullanıcıların da GPL'yi uygulayabilen üçüncü taraf lehtarlar olarak tanınmasını sağlamaya çalışıyor
      FSF ancak GNU projesinde olduğu gibi telif hakkı devredilmişse devreye girebilir
      GNU ile ilgili ihlaller license-violation@gnu.org adresine bildirilebilir
      SFC aynı zamanda OpenWrt, Git, QEMU gibi birçok projenin hukuki temsilcisi
      Bildirim için SFC'nin bilgilendirme sayfasına bakılabilir
      Ancak SFC'nin kaynakları sınırlı olduğu için tıbbi cihazlar gibi toplumsal etkisi büyük vakalara öncelik veriyor
      Özellikle Karen Sandler (kalp defibrilatörü kullanıcısı) ve Bradley Kühn (glikoz monitörü kullanıcısı) gibi isimler bulunduğundan tıbbi cihaz konularına özel ilgi var