Historie software escrow: od ochrany zdrojového kódu k nástroji ICT resilience

Napsal /

Software escrow (úschova zdrojových kódů často označovaná také jako source code escrow) je dnes vnímán jako jeden z nástrojů řízení rizik, vendor managementu a provozní odolnosti informačních systémů. Jeho kořeny však sahají hluboko do historie podnikového IT – výrazně dříve, než se začalo mluvit o cloudu, SaaS nebo regulacích typu NIS2 či DORA.

historie software escrow

Tento článek shrnuje historický vývoj software escrow, jeho klíčové milníky a proměnu role od jednoduché „pojistky“ až po součást moderní IT governance.

1. Počátky historie: custom software a mainframy (70. léta)

V 70. letech byl software:

  • vyvíjen převážně na míru,
  • úzce svázán s konkrétním hardwarem (mainframy IBM, DEC),
  • kritický pro provoz bank, pojišťoven a průmyslových podniků.

Zákazníci investovali miliony dolarů do systémů, jejichž další existence byla zcela závislá na jednom dodavateli. Pokud dodavatel:

  • zkrachoval,
  • přestal software podporovat,
  • nebo byl pohlcen konkurencí,

neexistoval žádný technický ani právní mechanismus, jak systém udržet v chodu.

📌 První escrow modely vznikaly neformálně:

  • zdrojové kódy byly ukládány u advokátů, notářů nebo bank,
  • uvolnění bylo vázáno na smluvně definované události (insolvence, porušení smlouvy).

„Escrow arrangements for proprietary software emerged as a contractual response to the risk of vendor failure in bespoke systems.“
— M. Rosenberg, Software Escrow and Bankruptcy, Journal of Law & Technology, 1982

2. Komercializace a licenční modely (80. léta)

V 80. letech dochází k zásadní změně:

  • software se neprodává, ale licencuje,
  • zákazník získává právo užívání, nikoli vlastnictví,
  • zdrojový kód zůstává výhradně dodavateli.

S nástupem enterprise aplikací (účetnictví, MRP, první ERP) se source code escrow začíná objevovat jako:

  • standardní smluvní doložka,
  • samostatná komerční služba poskytovaná třetí stranou.

Vznikají první specializovaní escrow agenti v USA a západní Evropě.

📄 Typická escrow smlouva již obsahuje:

  • definici depozitu,
  • podmínky uvolnění (release events),
  • povinnost aktualizací.

„Source code escrow became an accepted risk mitigation tool in enterprise licensing agreements during the 1980s.“
— R. Gomulkiewicz, Intellectual Property Licensing, Aspen Publishers

3. Standard enterprise IT (90. léta)

V 90. letech se escrow stává běžnou součástí enterprise IT kontraktů.

Důvody:

  • masové nasazení ERP, CRM a bankovních systémů,
  • životnost systémů 10–20 let,
  • rostoucí závislost organizací na IT.

Dochází ke standardizaci escrow praxe:

  • pravidelné aktualizace depozitu (ročně / pololetně),
  • přesně definované release scénáře,
  • vznik interních politik pro escrow v korporacích.

📌 Escrow už není výjimečné řešení, ale best practice.

„For mission-critical applications, source code escrow is considered a standard safeguard.“
— Gartner, IT Sourcing Best Practices, 1997

4. Internet, outsourcing a kontinuita provozu (2000–2010)

S nástupem:

  • internetu,
  • offshore vývoje,
  • menších a agilních dodavatelů,

se ukazuje, že samotný zdrojový kód nestačí.

Escrow se rozšiřuje o:

  • technickou dokumentaci,
  • databázová schémata,
  • build skripty,
  • konfigurační soubory,
  • know-how potřebné k nasazení.

Vzniká pojem software continuity escrow – cílem už není jen vlastnit kód, ale zajistit obnovitelnost systému.

„Escrow arrangements must ensure not just access to code, but the practical ability to maintain and operate the software.“
— ISO/IEC TR 10000-1 (IT Service Management Guidance)

5. Cloud, SaaS a verifikace obsahu (2010–2020)

Model SaaS přináší zásadní výzvu:

  • zákazník nemá přístup k infrastruktuře,
  • aplikace běží v cloudu,
  • tradiční escrow model přestává fungovat.

Reakcí je vznik:

  • SaaS escrow,
  • verified escrow,
  • ukládání Git repozitářů, kontejnerů a infrastruktury jako kódu (IaC).

Klíčový posun:

nestačí, že kód existuje – musí být ověřeně funkční a rekonstruovatelný.

„Verification services are increasingly critical in escrow arrangements for modern application architectures.“
— Gartner, Market Guide for Software Escrow, 2018

6. Současnost: regulace, kyberbezpečnost a ICT resilience (2020+)

V posledních letech se software escrow dostává do nového kontextu:

  • řízení ICT rizik,
  • vendor lock-in,
  • provozní odolnost.

Regulační rámce jako:

  • NIS2,
  • DORA,
  • ICT risk management ve finančním sektoru,

explicitně nebo implicitně vyžadují, aby organizace:

  • znaly svá kritická aktiva,
  • měly plán obnovy,
  • nebyly fatálně závislé na jednom dodavateli.

📌 Escrow se tak posouvá:
z právní pojistky → do nástroje governance a compliance.

Shrnutí: jak se escrow vyvíjela

ObdobíHlavní role escrow
70. létaOchrana investice při krachu dodavatele
80. létaZajištění licencovaného software
90. létaStandard enterprise IT
2000sKontinuita provozu
2010sCloud a SaaS
2020+ICT resilience, regulace, governance

Přejít nahoru