Надежны ли платформы с открытым государству и гражданам исходным кодом
|
Кипение IT-сообщества по поводу интеграции российских и казахстанских платформ для реализации системы электронного правительства подогревает рынок
В числе вопросов, которые занимают умы граждан, – безопасность персональных данных и надежность платформы с открытым государству и гражданам исходным кодом.
По первой теме было сказано немало, в том числе в моих колонках. Что же касается второй, то представители бизнеса все чаще задают вопрос: каковы риски создания такого ПО, безопасно ли использовать открытые платформы? Давайте разберемся.
Говорить о полном отсутствии угроз, конечно, невозможно – к примеру, в прошлом году GitHub, крупнейшая в мире платформа для программного обеспечения с открытым исходным кодом, отчиталась, что 17% всех уязвимостей в программном обеспечении были созданы для вредоносных целей.
Кроме того, так как онлайн-сообщества – единственная логичная среда для массированного распространения такого ПО, конечные пользователи могут вместо подлинного софта получить зараженные дистрибутивы, содержащие вредоносный код. Атаки на подобные серверы, распространяющие софт, случались уже неоднократно и были вполне успешными. Более того, в зоне усиленного риска находятся иногда не первоначальные коды, а различные обновления, к примеру исправления безопасности, которые получают из открытых источников. К тому же, что логично, процесс атаки на обновления цикличен – если в продукте обнаружена уязвимость, то рано или поздно патч для ее устранения выложат в открытом доступе и кибепреступники смогут легко его найти, исследовать код и найти источник уязвимости для последующей эксплуатации.
Означает ли это, что создавать ПО на таких условиях для бизнеса невозможно? Конечно же, нет, и в первую очередь потому, что в классической модели открытого кода сообщество является неотъемлемой частью любого подобного ПО, и количество активных участников указывает на его общее состояние. Хорошие сообщества быстро реагируют на уязвимости системы безопасности и правят подобные проблемы. Реализация проекта с открытым исходным кодом может быть более безопасной в силу того, что ее можно многократно проверять общими силами, а открытый исходный код дает сообществу больше шансов понять общее качество и зрелость программной системы.
Какие нюансы стоит учесть бизнесу, который хочет построить свой проект на базе открытого ПО?
- Провести идентификацию личности разработчиков для исключения внесения нелегитимных изменений в код.
- При поддержке юридической службы провести исследование ПО на лицензионную чистоту.
- Проверить наличие существующего в сообществе или у разработчика процесса выявления угроз, аудита важных открытых проектов, если такого нет – сделать это самим.
- Уточнить факты раскрытия информации об уязвимостях и наличия патчей для них. Проверить, как происходит их разработка.
- Провести с разработчиками совместную сессию по их оценке долгосрочных планов поддержки софта, выхода патчей безопасности.
- Создать план управления инцидентами внутри собственного R&D.
- Обеспечить базовые принципы безопасности репозитория, где вы будете хранить ваши исходники.
Слабая осведомленность IТ-сообщества о продуктах с открытым исходным кодом, их возможностях и особенностях пока мешает нормальному развитию оных. Этому способствует массовое недоверие лидеров бизнеса, в том числе IT-директоров. Если вы являетесь IT-разработчиком и планируете развивать ваши продукты на базе открытого ПО, стоит заранее задуматься о продвижении механизмов развития открытых продуктов, об инвестициях в развитие сообществ, сопряженных с ними.