Код на опережение

Сможет ли open source стать отечественным, конкурентным и безопасным

Использование программных продуктов с открытым кодом стало одним из базовых сценариев развития российской ИТ-отрасли при создании импортонезависимого ПО. Но есть и обратная сторона этой программной «медали». О том, какие риски несет open source и как их можно минимизировать в рамках текущего законодательства, читателям RSpectr рассказал генеральный директор компании «Аэродиск» Вячеслав Володкович.

ПОПУЛЯРНЫЙ КОД

Технологии и платформы open source (OS) позволяют повышать продуктивность работы за счет объединения усилий ИТ-сообщества. Это заложено в самой сущности процесса создания проектов с открытым программным кодом, что позволяет объединить ресурсы и таланты, снизить затраты и в кратчайшие сроки создать технологическую основу для будущих решений.

В отличие от проприетарного программного обеспечения, компоненты open source возможно проверить на наличие эксплуатируемых уязвимостей до их включения в программный проект или на стадии сборки. Например, проверить код на уязвимость, оценить будущее поведение программы, ее архитектуру и логику.

При этом open-source-сообщества на порядок быстрее реагируют на сигналы рынка, чем это могут себе позволить крупные ИТ-компании, которые создают проприетарное ПО. Производственный цикл создания решения также значительно сокращается.

Впервые на государственном уровне серьезно задумались над сокращением отставания в данной сфере от западной ИТ-отрасли в 2007 году. Коллегия Минкомсвязи приняла «Концепцию разработки и использования свободного программного обеспечения (СПО) в России». Однако только в декабре 2010 года правительство РФ одобрило план перехода федеральных органов исполнительной власти и федеральных бюджетных учреждений на использование СПО. Впервые законодательно для него предусматривалось создание единого репозитория.

По прошествии еще восьми лет, в сентябре 2018 года, Минкомсвязь России выпустила методические рекомендации по переходу государственных компаний на преимущественное использование отечественного ПО. Однако в полном объеме решения правительства и Минкомсвязи выполнены не были. Отчасти ситуация могла быть связана с отсутствием заинтересованности в данном проекте со стороны потенциальных потребителей СПО и компаний, которым отводилась роль наполнения и поддержки репозитория.

Наконец, в марте этого года появилась информация о том, что Минцифры предложило Российскому фонду развития информационных технологий (РФРИТ) и АНО «Открытый код» финансирование для создания репозитория, который станет отечественным аналогом GitHub. Эксперимент продлится с начала ноября 2023 года до сентября 2024 года.

БАРЬЕРЫ РАЗВИТИЯ OPEN SOURCE В РОССИИ

В августе 2023 года вступили в силу законы РФ №346588-8, №346769-8 и №346750-8, запрещающие участие граждан России в не зарегистрированных в специальном реестре иностранных некоммерческих организациях (НКО).

Поскольку значительная часть международных проектов open source зарегистрирована как НКО, то в зону риска могут попасть обычные пользователи СПО-проектов и сотрудники российских компаний, которые осуществляют разработку в рамках программ импортозамещения.

Напомню, что международными НКО курируются дистрибутивы Linux, включая отечественные ALT Linux, Astra Linux и Rosa Linux. Развиваются СУБД PostgreSQL и СУБД MariaDB, пользовательское окружение KDE и GNOME, среда разработки Eclipse, платформа Jakarta EE, офисные пакеты LibreOffice и OpenOffice. Также с командами НКО связано совершенствование языков программирования Python, PHP, Perl и Rust и многое другое.

Серьезным вызовом для отечественного ИТ-рынка, из-за которого может быть сдержано развитие отечественных OS-решений, стало массовое проникновение высокотехнологичных компонентов и технологий из Китая. В первую очередь со стороны Huawei. Часть экспертов отрасли отмечают опасность смены одной технологической зависимости на другую.

Есть и столкновение интересов проприетарного и OS-подходов.

Оппоненты open source указывают на ряд существенных недостатков: отсутствие четких правил регулирования и незначительная емкость рынка

Утверждается, что каноническое использование технологий с открытым кодом на безвозмездной основе возможно только для частного использования и не предполагает коммерциализации разработанных технологий.

Критики направления считают, что решения на базе открытого кода могут обойтись пользователям значительно дороже, чем приобретение «коробочного» продукта. Данное мнение аргументируется тем, что OS-продукты малосовместимы c ИТ-ландшафтом заказчиков и друг с другом, а код необходимо адаптировать под конкретные потребности. При этом не отменяются затраты на содержание в штате собственной ИТ-команды либо передача софта на обслуживание в аутсорсинговую компанию.

Следующими объектами критики стали кооперация и безопасность.

Оппоненты уверены, что режим совместной разработки размывает границы авторских прав и не позволяет адекватно защитить решение в коммерческом смысле

А доступ к открытому коду позволяет злоумышленникам использовать в своих интересах уязвимости элементов программного обеспечения.

ЧТО НУЖНО РОССИИ ДЛЯ РАЗВИТИЯ OPEN SOURCE

Осенью мы собрали энтузиастов на площадке конференции «Технократия» и в формате интерактивной игры обсудили вопрос, чего же не хватает для развития open source в нашей стране. Приведу наиболее важные результаты нашего обсуждения.

Участники пришли к выводу, что необходимо создавать отечественные OS-платформы в нынешних международных условиях.

В 2018 году один из самых популярных у разработчиков ПО инструментов – веб-платформа для хостинга ИТ-проектов GitHub – перешла в собственность Microsoft. В апреле 2022 года команда сервиса отметилась массовой блокировкой аккаунтов российских компаний и разработчиков. Платформа заявила о том, что будет следить за ситуацией и не позволит попасть под блокировку всем подряд. Но нет уверенности в том, что это не повторится.

Еще одним неприятным сигналом стало сообщение экспертов по безопасности компании Checkmarx, которые обнаружили в различных OS-репозиториях около 300 пакетов Python с интегрированным в код инструментом для кражи конфиденциальных данных из целевых систем.

Из вышесказанного следует, что

разработать по-настоящему безопасный и независимый ИТ-продукт возможно далеко не на любой платформе open source

Потребуется собственный независимый ресурс, организованный на принципах национального технологического суверенитета. При создании такой национальной платформы необходимо учитывать несколько обязательных принципов: код проекта должен быть размещен в национальном репозитории и использовать отечественные лицензии.

Курировать проект должна российская команда или отечественный вендор, которые понимают и поддерживают код, а также проверяют его на безопасность и соответствие требованиям регуляторов.

Одним из слагаемых успеха может стать привлечение компетентных и высокомотивированных специалистов к созданию открытого ПО. Необходимо максимально широко донести до ИТ-комьюнити информацию о перспективах и возможностях работы с актуальным и продвинутым стеком технологий.

Важно акцентировать внимание на уникальный характер проектов и их востребованную предметную область

ИТ-КАДРЫ И РОЛЬ ГОСУДАРСТВА

В идеале информационный шум вокруг open-source-проектов должен трансформироваться в своего рода национальное движение, которое заражает людей идеей причастности к созданию востребованного и популярного ИТ-продукта.

Популяризировать преимущества причастности к сообществу open source необходимо начинать на уровне средней школы и колледжей. Например, через применение различных игровых механик, которые предполагают формы поощрения за участие в проектах и достижение определенных результатов.

При работе со студентами вузов, помимо статусных поощрений, участие в продвижении open-source-инициатив можно мотивировать за счет выделения грантов, именных вознаграждений, а также удовлетворения будущих карьерных амбиций. Кроме того, необходим ключевой вуз, который станет образовательным и научным флагманом развития open source в России.

Роль государства, его активность в идеологической проработке и развитии престижа участия в национальных open-source-проектах сложно переоценить. Речь идет об информировании ИТ-отрасли и бизнеса о таких инициативах в рамках четкой маркетинговой стратегии: планирование, вебинары, живые мероприятия, а также создание соответствующих ресурсов и репозиториев.

При государственном участии может быть решена финансовая составляющая развития open source за счет привлечения средств частных и государственных инвестиционных фондов, выделения грантов и целевого финансирования.

Еще одна сфера непосредственного государственного участия – формирование прозрачных правовых основ, необходимых для создания и функционирования СПО-сообщества. Это касается регулирования их деятельности и юридических моментов, правил лицензирования и арбитража, а также требований надзорных органов к противодействию коррупции и обеспечению публичности.

Решение задачи импортозамещения зарубежного ПО через развитие сообщества разработчиков и создание отечественных open-source-ресурсов абсолютно возможно.

Подход этот не новый, ведь ПО с открытым кодом в России используется давно и очень широко. Это касается как крупных, так и мелких российских компаний. Особенно в сферах развития облачных технологий, искусственного интеллекта и машинного обучения, периферийных вычислений и интернета вещей. Остается только правильно осмыслить этот опыт и переложить его на новую реальность.