СПО: риски, санкционная устойчивость и другие особенности
Санкционно-устойчивым свободно-распространяемое ПО (СПО) не является, хотя этот параметр у него заметно выше, чем у традиционных коммерческих релизов. Примеры возникающих проблем, к сожалению, достаточно выразительны, в чем мы сможем убедиться. Однако использовать СПО в современных условиях можно и нужно, соблюдая определенную осторожность.
Беспроблемность — только в теории
Казалось бы — никаких проблем нет и быть не может: есть готовые программные продукты, которые можно брать совершенно бесплатно и использовать для решения задач заказчиков. Однако на практике все несколько сложнее, риски все же существуют, а поэтому заказчикам нужно хотя бы рамочное понимание ситуации с СПО. «Открытый код давно эксплуатируют в продуктах даже самых больших и закрытых компаний, в том числе банков, — говорит Александр Виноградов, руководитель платформы Tarantool, — а функциональность, надежность и безопасность современного свободного ПО таковы, что делают его достойной альтернативой проприетарному софту». В данном случае также важна возможность при необходимости изменять/дописывать исходный код, что увеличивает гибкость продукта. Более того, как подчеркивает г-н Виноградов, использование СПО подразумевает необходимость доработки, поддержки и развития. Понимание некоторых деталей, связанных с СПО, нужно для оценки рисков, одним из которых являются вопросы санкционной устойчивости.
Может ли СПО содержать вредоносные элементы?
Позитивно настроены к СПО не все игроки рынка. Основная причина — вредоносные элементы в СПО могут присутствовать, причем это может быть как по злому умыслу, так и быть определено качеством разработки или особенностями распространения софта. Релизы могут содержать уязвимости внутри (вирусы, бэкдоры и пр.), отмечает Александр Казеннов, руководитель корпоративной практики ДКИС ALP Group. Кроме того, напоминает он, в ряде случаев СПО может содержать неоптимальный/некачественный код, который может привести к деградированию, а в худших ситуациях и к порче инфраструктуры заказчика. Вероятность наличия «закладок» в СПО, созданном глобальными разработчиками, подчеркивает Григорий Сизоненко, генеральный директор ИВК, который напоминает про особую опасность таких элементов в современных условиях, когда они могут быть использованы как кибероружие. Есть и менее суровые оценки ситуации, которые, между тем, также призывают к осторожности. «СПО лежит в открытом репозитории, а значит есть риск получить вредоносный код», — говорит Кирилл Владимиров, генеральный директор компании Only. Однако стоит подчеркнуть, что вероятность наличия «закладок» и бэкдоров не является особенностью СПО, такое может быть и в проприетарном ПО. При использовании СПО обычно доступен код, доступный для анализа, которые смягчает проблему. Заметим, что более «мягкие риски», связанные с лицензиями и с поддержкой сейчас куда как реальней. Свободные, но ограниченные лицензиями Мир разработки СПО огромен, сложен и специфичен. Отдельные приложения — от медиаплееров до графических редакторов — могут быть созданы отдельными энтузиастами или группами энтузиастов. Но если мы говорим о сложных программных продуктах, актуальных для инфраструктурных задач или приложений корпоративного уровня, то их создание в большинстве случаев требует индустриального подхода, то есть слаженной работы групп специалистов в составе управляемых команд. Сообщество разработчиков СПО для создания и развития масштабных и сложных проектов образовало развитую инфраструктуру «индустриального класса», которая в общих чертах симметрична индустрии коммерческой разработки. Тут есть свои — хотя и специфичные по реализации — DevOps, TestOps, лицензионная политика и т. д. Большинство программ для корпоративного сектора разработаны под управлением различных некоммерческих фондов, которые представляют собой компании традиционной структуры — с директоратом, юрисдикцией и проч. «Как правило, проекты по созданию СПО поддерживают крупные глобальные некоммерческие компании, к примеру, Apache Software Foundation (ASF), — отмечает Михаил Кузнецов, коммерческий директор iFellow. — Такие организации обеспечивают проекты по разработке СПО фундаментом, предоставляя аппаратное обеспечение, средства связи и бизнес-инфраструктуру». Юрисдикции имеют значение Находясь под юрисдикцией государств — в большинстве случаев, североамериканского и западноевропейского регионов — фонды могут получить требования ограничить сотрудничество с российскими структурами и с пользователями из РФ, чему, разумеется, подчинятся. Аналогичные решения могут быть приняты и самими фондами под давлением различных внешних факторов — от собственного совета директоров до внешнего комьюнити. Разумеется, любые искусственные ограничения не пойдут на пользу СПО, но такое развитие событий в современных условиях не исключено. Подчеркнем, что мир СПО крайне динамичен, изменения — как в коде, так и в организации, а также в лицензионных политиках — происходят постоянно. Иногда они масштабные — как связанные с относительно недавним переходом RedHat и ее продуктов в собственность IBM — иногда менее заметные, но тоже требующие внимания. Примеры санкционного давления в сегменте СПО уже есть Британский разработчик Canonical, создатель самого популярного Linux-дистрибутива Ubuntu, прекратил поддержку и любое сотрудничество с российскими компаниями. Ранее компания Red Hat, владелец одного из крупнейших в мире репозиториев свободного ПО, объявила о прекращении всех партнерских отношений с организациями, базирующимися или имеющими штаб-квартиры в России, напоминает Григорий Сизоненко, генеральный директор ИВК.
Как правило, проекты по созданию СПО поддерживают крупные глобальные некоммерческие компании, к примеру, Apache Software Foundation (ASF). Такие организации обеспечивают проекты по разработке СПО фундаментом, предоставляя аппаратное обеспечение, средства связи и бизнес-инфраструктуру
Легко предположить, что будут и другие прецеденты. Как они могут выглядеть, какие риски несут и как им можно эффективно противостоять?
