Надежны ли платформы с открытым государству и гражданам исходным кодом
Надежны ли платформы с открытым государству и гражданам исходным кодом
3 года назад 1250 forbes.kz

Кипение IT-сообщества по поводу интеграции российских и казахстанских платформ для реализации системы электронного правительства подогревает рынок

В числе вопросов, которые занимают умы граждан, – безопасность персональных данных и надежность платформы с открытым государству и гражданам исходным кодом.

По первой теме было сказано немало, в том числе в моих колонках. Что же касается второй, то представители бизнеса все чаще задают вопрос: каковы риски создания такого ПО, безопасно ли использовать открытые платформы? Давайте разберемся.

Говорить о полном отсутствии угроз, конечно, невозможно – к примеру, в прошлом году GitHub, крупнейшая в мире платформа для программного обеспечения с открытым исходным кодом, отчиталась, что 17% всех уязвимостей в программном обеспечении были созданы для вредоносных целей.

Кроме того, так как онлайн-сообщества – единственная логичная среда для массированного распространения такого ПО, конечные пользователи могут вместо подлинного софта получить зараженные дистрибутивы, содержащие вредоносный код. Атаки на подобные серверы, распространяющие софт, случались уже неоднократно и были вполне успешными. Более того, в зоне усиленного риска находятся иногда не первоначальные коды, а различные обновления, к примеру исправления безопасности, которые получают из открытых источников. К тому же, что логично, процесс атаки на обновления цикличен – если в продукте обнаружена уязвимость, то рано или поздно патч для ее устранения выложат в открытом доступе и кибепреступники смогут легко его найти, исследовать код и найти источник уязвимости для последующей эксплуатации.

Означает ли это, что создавать ПО на таких условиях для бизнеса невозможно? Конечно же, нет, и в первую очередь потому, что в классической модели открытого кода сообщество является неотъемлемой частью любого подобного ПО, и количество активных участников указывает на его общее состояние. Хорошие сообщества быстро реагируют на уязвимости системы безопасности и правят подобные проблемы. Реализация проекта с открытым исходным кодом может быть более безопасной в силу того, что ее можно многократно проверять общими силами, а открытый исходный код дает сообществу больше шансов понять общее качество и зрелость программной системы.

Какие нюансы стоит учесть бизнесу, который хочет построить свой проект на базе открытого ПО?

  • Провести идентификацию личности разработчиков для исключения внесения нелегитимных изменений в код.
  • При поддержке юридической службы провести исследование ПО на лицензионную чистоту.
  • Проверить наличие существующего в сообществе или у разработчика процесса выявления угроз, аудита важных открытых проектов, если такого нет – сделать это самим.
  • Уточнить факты раскрытия информации об уязвимостях и наличия патчей для них. Проверить, как происходит их разработка.
  • Провести с разработчиками совместную сессию по их оценке долгосрочных планов поддержки софта, выхода патчей безопасности.
  • Создать план управления инцидентами внутри собственного R&D.
  • Обеспечить базовые принципы безопасности репозитория, где вы будете хранить ваши исходники.

Слабая осведомленность IТ-сообщества о продуктах с открытым исходным кодом, их возможностях и особенностях пока мешает нормальному развитию оных. Этому способствует массовое недоверие лидеров бизнеса, в том числе IT-директоров. Если вы являетесь IT-разработчиком и планируете развивать ваши продукты на базе открытого ПО, стоит заранее задуматься о продвижении механизмов развития открытых продуктов, об инвестициях в развитие сообществ, сопряженных с ними. 

Об авторе:
0 комментариев
Архив