Perangkat pengendali pompa insulin saya menggunakan kernel Linux tetapi melanggar GPL

 (old.reddit.com)
1 poin oleh GN⁺ 2025-12-27 | 1 komentar | Bagikan ke WhatsApp
  • Pengendali perangkat medis yang mengatur pompa insulin berjalan dengan basis kernel Linux
  • Perangkat tersebut berada dalam status pelanggaran lisensi karena tidak mematuhi ketentuan GPL (General Public License)
  • Pengguna menyoroti masalah bahwa kewajiban untuk membuka kode sumber tidak dijalankan
  • Di komunitas, transparansi perangkat lunak open source dan keandalan perangkat medis dibahas bersama
  • Pelanggaran GPL ini menjadi sorotan sebagai contoh yang menunjukkan batas pemanfaatan open source di bidang perangkat medis

Pengendali pompa insulin berbasis kernel Linux

  • Perangkat yang mengendalikan pompa insulin menggunakan kernel Linux
    • Perangkat ini menjalankan fungsi untuk mengatur pemberian insulin secara otomatis
    • Pengguna telah memastikan bahwa kernel Linux tertanam di dalamnya
  • Perangkat tersebut melanggar ketentuan lisensi GPL
    • GPL menetapkan bahwa produk yang menggunakan kernel memiliki kewajiban untuk membuka kode sumber
    • Namun, perangkat ini dijual dalam kondisi tanpa akses ke kode sumber

Masalah pelanggaran GPL dan transparansi open source

  • Pengguna menunjukkan adanya pelanggaran GPL dan menuntut pembukaan kode sumber
    • Meskipun fakta penggunaan kernel sudah jelas, produsen tidak menyediakan kodenya
  • Di komunitas, muncul kritik bahwa produsen perangkat medis mengabaikan kewajiban open source
    • Pelanggaran GPL bukan sekadar masalah hukum, tetapi juga berdampak pada keselamatan pengguna dan keandalan

Benturan antara perangkat medis dan open source

  • Di industri perangkat medis, kebijakan firmware tertutup merupakan hal yang umum
    • Karena itu, timbul benturan hukum dan etika dengan komunitas open source
  • Pelanggaran GPL pada perangkat medis yang menggunakan kernel Linux disebut sebagai contoh representatif dari kurangnya transparansi
    • Saat teknologi berbasis open source diterapkan pada perangkat medis, kepatuhan pada kewajiban keterbukaan menjadi penting

Reaksi komunitas

  • Sebagian pengguna menuntut langkah penegakan kepatuhan GPL
    • Mereka berpendapat bahwa produsen harus membuka kode sumber kernel
  • Pengguna lain juga membahas keamanan perangkat medis dan masalah tanggung jawab hukum
    • Mereka menyoroti adanya kekosongan regulasi ketika perangkat lunak open source digunakan dalam perangkat medis

Implikasi

  • Kasus ini menjadi sorotan sebagai contoh langka pelanggaran GPL yang benar-benar terjadi pada perangkat medis
  • Ini menunjukkan perlunya keseimbangan hukum dan etika antara komunitas open source dan industri perangkat medis
  • Ke depan, dibutuhkan penguatan kepatuhan lisensi pada produk yang menggunakan kernel Linux

Bacaan terkait

1 komentar

 
GN⁺ 2025-12-27
Komentar Hacker News
  • Saya mencoba meminta kode sumber kernel yang dilisensikan GPLv2 dari Insulet
    Namun, sekadar mengatakan “karena ada GPL maka mereka harus memberi sumbernya” adalah kesalahpahaman
    Dalam praktiknya, perusahaan harus mengirimkan ‘written offer’ kepada pengguna, dan pengguna dapat meminta kode sumber berdasarkan penawaran itu
    Jika perusahaan mengirimkan penawaran tetapi tidak memenuhinya, itu merupakan pelanggaran kontrak, tetapi jika sejak awal mereka tidak pernah mengirimkan penawaran tersebut, itu menjadi pelanggaran GPL (saya bukan ahli hukum)
    • Ini masih merupakan isu yang belum jelas secara hukum
      Kasus Conservancy v Vizio memperdebatkan apakah konsumen juga punya hak untuk menegakkan GPL secara langsung
    • Masa berlaku 3 tahun untuk written offer hanyalah salah satu dari beberapa cara distribusi
      Jika tidak ada penawaran sama sekali, mereka tidak mendapat perlindungan dari klausul itu dan harus mematuhi GPL dengan cara lain
    • Untuk pertanyaan “apakah written offer itu pelanggaran kontrak”, ada juga pendapat bahwa penawaran sederhana berbeda dari kontrak
    • Mungkin penafsiran seperti ini berlaku di AS, tetapi di Jerman pengguna akhir juga bisa langsung menuntut kode sumber dan menggugat
    • GPL itu sendiri adalah kontrak, jadi yang perlu dibedakan di sini adalah perbedaan antara kontrak pemberi lisensi–penerima lisensi dan hubungan penerima lisensi–pengguna
  • Saya sangat menyarankan untuk membaca komentar teratas yang ditulis oleh orang dalam perusahaan
    Pengembangan hardware sering dianggap sebagai cost center dan dialihdayakan, sehingga sering kali tidak ada lagi orang yang tersisa untuk menangani permintaan GPL
    Tim dukungan garis depan tidak punya kapasitas untuk menangani permintaan seperti ini, dan email sering berputar di internal lalu terlupakan
    Begitu masuk ke tim legal, mereka akan menghitung “apakah ini benar-benar risiko hukum?” dan dalam kebanyakan kasus mengabaikannya
    Saat dulu bekerja di perusahaan yang sering punya isu GPL, saya memastikan setiap rilis menyimpan GPL tarball, dan juga melatih tim support
    70% permintaan berawal dari kemarahan karena salah paham bahwa “mengapa tidak memberikan seluruh source code”
    Pengalaman seperti ini membuat saya mengerti mengapa tim support enggan menangani permintaan GPL
    • Tetapi jika kode non-GPL terhubung langsung (link) dengan kode GPL, keluhan para pengguna itu mungkin memang beralasan
  • Dalam kasus seperti ini, jawaban yang tepat adalah menghubungi lewat tim legal melalui jalur pengacara
    Engineer atau tim support tidak mungkin mengambil keputusan hukum untuk menyerahkan aset perusahaan
    Akan sangat membantu jika FSF mempublikasikan template surat tuntutan yang berisi dasar hukum dan prosedur klaim ganti rugi
    • Ada juga bantahan bahwa “itu bukan aset perusahaan”
  • Jika bagian yang terkena GPL hanya kernel Linux saja, kemungkinan hampir tidak ada hak untuk menerima source code khusus
    Hanya karena menggunakan kernel, program userspace tidak otomatis terkena kewajiban GPL
    Kemungkinan besar ini hanya kombinasi kernel yang tidak dikustomisasi dengan program userspace open source
    • Kalau begitu, penyediaan source code seharusnya bisa ditangani dengan sangat mudah
    • Selain itu, modul driver yang menggunakan GPL shim (misalnya driver NVIDIA) juga tidak termasuk objek GPL, jadi saya tidak paham mengapa penulis menganggap ini sebagai pelanggaran
  • Diskusi tentang pelanggaran lisensi seperti ini benar-benar membuat stres
    Jika memang pelanggaran, ya tinggal ajukan gugatan dan biarkan pengadilan yang memutuskan
    Untuk perangkat medis, ini tampaknya cukup layak dicoba dengan biaya beberapa ratus dolar
    • Tetapi kemungkinan OP bukan pemegang hak cipta kernel Linux
    • Lagi pula, kecil kemungkinan gugatan akan selesai hanya dengan beberapa ratus dolar
  • Jika mereka membangun kernel sendiri secara langsung, mungkin cukup dengan memberi tahu tautan repositori resmi kernel Linux
    • Tetapi jika perusahaan membangunnya sendiri untuk tujuan komersial, maka mereka tidak memenuhi kedua syarat GPLv2 3(c), sehingga klausul itu tidak bisa diterapkan
  • Jangan-jangan ini soal Omnipod?
    Ada banyak recall, dan kualitas hardware maupun software mereka sulit dipercaya
    Maaf untuk siapa pun yang pernah bekerja di perusahaan itu, semoga sekarang bekerja di tempat yang lebih baik
  • Sebagai orang yang tidak bergantung pada insulin, yang saya penasaran adalah mengapa pompa insulin harus dikendalikan lewat ponsel
    Bukankah cukup memakai kontroler Bluetooth saja? Memakai ponsel murah buatan Tiongkok justru terlihat meningkatkan risiko kebocoran data
    • Demi keamanan. PDM sepenuhnya terisolasi, dan tidak bisa memasang aplikasi atau terhubung ke Wi‑Fi
      Jika salah dikendalikan, bisa terjadi overdosis insulin yang fatal
      Menariknya, Omnipod 5 dari perusahaan yang sama di AS justru bisa dikendalikan dengan smartphone biasa
    • Dulu, untuk mengendalikan pompa dengan perangkat eksternal, mereka wajib menyediakan kontroler khusus
      Karena itu Insulet merilis perangkat terpisah
      CGM seperti Dexcom G7 juga dijual bersama ‘kontroler’ karena alasan yang sama
      Belakangan FDA melonggarkan persyaratan ini, sehingga sekarang produk yang mengandalkan ponsel pengguna juga diperbolehkan
  • Sebenarnya perangkat ini sudah di-reverse engineer (RE)
    Bisa dilihat dari proyek seperti Loop, Trio, dan OpenAPS
    Insulet cukup permisif terhadap hacking seperti ini
    Yang dibutuhkan sekarang adalah membantu RE untuk Omnipod 5
    • Saya juga sedang berhubungan dengan beberapa orang yang mengetahui pekerjaan RE Omnipod 5
      Masalah saat ini adalah PDM/aplikasi saat login menerima private key dari API lalu menyimpannya di keychain, dan mencegah serangan man-in-the-middle dengan SSL pinning
      Karena private key itu belum berhasil diekstrak, progresnya masih lambat
    • Saya sedang mencoba RE untuk membaca data glukosa darah dari pompa Minimed (780G), tetapi masih belum sepenuhnya terpecahkan
      Semoga suatu hari saya bisa ikut berkontribusi
  • Saya sempat penasaran apakah ada prosedur untuk mengajukan petisi ke FSF dalam kasus seperti ini
    Saya ingin tahu dengan kriteria apa mereka memilih kasus
    • Sebenarnya yang menangani bukan FSF melainkan SFC (Software Freedom Conservancy)
      Teori yang dominan adalah bahwa GPL hanya bisa ditegakkan oleh pemegang hak cipta
      Melalui gugatan terhadap Vizio, SFC berusaha agar pengguna akhir juga diakui sebagai penerima manfaat pihak ketiga yang dapat menegakkan GPL
      FSF hanya dapat campur tangan jika hak cipta telah dialihkan kepada mereka, seperti pada proyek GNU
      Pelanggaran terkait GNU bisa dilaporkan ke license-violation@gnu.org
      SFC juga merupakan perwakilan hukum untuk berbagai proyek seperti OpenWrt, Git, dan QEMU
      Untuk pelaporan, lihat halaman panduan SFC
      Namun sumber daya SFC terbatas, sehingga mereka memprioritaskan kasus dengan dampak sosial besar seperti perangkat medis
      Khususnya karena ada tokoh seperti Karen Sandler (pengguna defibrilator jantung) dan Bradley Kühn (pengguna monitor glukosa darah), mereka punya minat besar pada isu perangkat medis