СПО: риски, санкционная устойчивость и другие особенности

СПО: риски, санкционная устойчивость и другие особенности

12.04.2022|СМИ о нас
СПО: риски, санкционная устойчивость и другие особенности

Беспроблемность — только в теории

Казалось бы — никаких проблем нет и быть не может: есть готовые программные продукты, которые можно брать совершенно бесплатно и использовать для решения задач заказчиков. Однако на практике все несколько сложнее, риски все же существуют, а поэтому заказчикам нужно хотя бы рамочное понимание ситуации с СПО.

«Открытый код давно эксплуатируют в продуктах даже самых больших и закрытых компаний, в том числе банков, — говорит Александр Виноградов, руководитель платформы Tarantool, — а функциональность, надежность и безопасность современного свободного ПО таковы, что делают его достойной альтернативой проприетарному софту».

В данном случае также важна возможность при необходимости изменять/дописывать исходный код, что увеличивает гибкость продукта. Более того, как подчеркивает г-н Виноградов, использование СПО подразумевает необходимость доработки, поддержки и развития.

Понимание некоторых деталей, связанных с СПО, нужно для оценки рисков, одним из которых являются вопросы санкционной устойчивости.

Может ли СПО содержать вредоносные элементы?

Позитивно настроены к СПО не все игроки рынка. Основная причина — вредоносные элементы в СПО могут присутствовать, причем это может быть как по злому умыслу, так и быть определено качеством разработки или особенностями распространения софта. Релизы могут содержать уязвимости внутри (вирусы, бэкдоры и пр.), отмечает Александр Казеннов, руководитель корпоративной практики ДКИС ALP Group. Кроме того, напоминает он, в ряде случаев СПО может содержать неоптимальный/некачественный код, который может привести к деградированию, а в худших ситуациях и к порче инфраструктуры заказчика.

Вероятность наличия «закладок» в СПО, созданном глобальными разработчиками, подчеркивает Григорий Сизоненко, генеральный директор ИВК, который напоминает про особую опасность таких элементов в современных условиях, когда они могут быть использованы как кибероружие.

Есть и менее суровые оценки ситуации, которые, между тем, также призывают к осторожности. «СПО лежит в открытом репозитории, а значит есть риск получить вредоносный код», — говорит Кирилл Владимиров, генеральный директор компании Only.

Однако стоит подчеркнуть, что вероятность наличия «закладок» и бэкдоров не является особенностью СПО, такое может быть и в проприетарном ПО. При использовании СПО обычно доступен код, доступный для анализа, которые смягчает проблему. Заметим, что более «мягкие риски», связанные с лицензиями и с поддержкой сейчас куда как реальней.

Свободные, но ограниченные лицензиями

Мир разработки СПО огромен, сложен и специфичен. Отдельные приложения — от медиаплееров до графических редакторов — могут быть созданы отдельными энтузиастами или группами энтузиастов. Но если мы говорим о сложных программных продуктах, актуальных для инфраструктурных задач или приложений корпоративного уровня, то их создание в большинстве случаев требует индустриального подхода, то есть слаженной работы групп специалистов в составе управляемых команд.

Сообщество разработчиков СПО для создания и развития масштабных и сложных проектов образовало развитую инфраструктуру «индустриального класса», которая в общих чертах симметрична индустрии коммерческой разработки. Тут есть свои — хотя и специфичные по реализации — DevOps, TestOps, лицензионная политика и т. д. Большинство программ для корпоративного сектора разработаны под управлением различных некоммерческих фондов, которые представляют собой компании традиционной структуры — с директоратом, юрисдикцией и проч.

«Как правило, проекты по созданию СПО поддерживают крупные глобальные некоммерческие компании, к примеру, Apache Software Foundation (ASF), — отмечает Михаил Кузнецов, коммерческий директор iFellow. — Такие организации обеспечивают проекты по разработке СПО фундаментом, предоставляя аппаратное обеспечение, средства связи и бизнес-инфраструктуру».

Юрисдикции имеют значение

Находясь под юрисдикцией государств — в большинстве случаев, североамериканского и западноевропейского регионов — фонды могут получить требования ограничить сотрудничество с российскими структурами и с пользователями из РФ, чему, разумеется, подчинятся. Аналогичные решения могут быть приняты и самими фондами под давлением различных внешних факторов — от собственного совета директоров до внешнего комьюнити. Разумеется, любые искусственные ограничения не пойдут на пользу СПО, но такое развитие событий в современных условиях не исключено.

Подчеркнем, что мир СПО крайне динамичен, изменения — как в коде, так и в организации, а также в лицензионных политиках — происходят постоянно. Иногда они масштабные — как связанные с относительно недавним переходом RedHat и ее продуктов в собственность IBM — иногда менее заметные, но тоже требующие внимания.

Примеры санкционного давления в сегменте СПО уже есть

Британский разработчик Canonical, создатель самого популярного Linux-дистрибутива Ubuntu, прекратил поддержку и любое сотрудничество с российскими компаниями. Ранее компания Red Hat, владелец одного из крупнейших в мире репозиториев свободного ПО, объявила о прекращении всех партнерских отношений с организациями, базирующимися или имеющими штаб-квартиры в России, напоминает Григорий Сизоненко, генеральный директор ИВК.

«В марте 2022 года немецкий некоммерческий благотворительный фонд TDF исключил из Консультационного совета, отвечающего за финансовое направление, российскую компанию „Русбитех-Астра“ (разработчик ОС Astra Linux), — говорит Михаил Кузнецов. — И хотя ее представители говорят, что ограничение не коснулось их работы по стратегии и разработки СПО, пример все же репрезентативен».

Источник