Софт с сюрпризом

Так ли опасен открытый исходный код и что сейчас с ним делать

На фоне массированных кибератак и ухода иностранных вендоров IT-специалисты все чаще сталкиваются с рисками использования свободного ПО (Open Source). Часто в бесплатном элементе скрывается специально заложенная уязвимость, которая создает серьезные угрозы. Готовы ли российские разработчики при необходимости полностью заменить компоненты с открытым кодом и нужен ли переход от «наложенных» средств защиты к встроенным – в материале RSpectr.

ТАМ ЧТО-ТО ШЕВЕЛИТСЯ

«Техдирский клуб» опубликовал перечень проектов с открытым кодом, содержащих вредоносные компоненты, написал в своем блоге на «Хабре» основатель объединения Дмитрий Симонов.

«В связи с появившимися случаями встраивания политических лозунгов, а теперь и Malware (вредоносное ПО. – Прим. RSpectr.) и шифровальщиков в Open Source, которые несут реальные риски, мы начинаем вести список опасных для использования продуктов», – говорится в преамбуле каталога.

Согласно данным исследования Accenture и Фонда «Сколково», софт с открытым кодом в 2026 году будут применять более 90% российских компаний. В 2021-м этот показатель составил 79 процентов.

В открытые сообщества запросто можно внедрить киберзакладки, за последний месяц риски использования свободного кода резко усилились, рассказал RSpectr управляющий директор, председатель совета директоров компании «Диасофт» Александр Глазков.

Александр Глазков, «Диасофт»:

– Сейчас это острейшая проблема. Мы и раньше говорили: общее – это не российское. Конечно, можно установить цикл безопасной разработки, проверять на сюрпризы, но они все равно будут просачиваться.

Если компания не разбирается в используемом софте, не способна его развивать и исправлять – это создает проблемы для всех, подчеркнул А.Глазков на пресс-конференции НП «РУССОФТ».

По его мнению,

это вызов для отечественных разработчиков – взять ответственность за подобную задачу внутри страны. Пока же можно только наблюдать, как развивается Open Source сообщество, но скачивать что-то сейчас не рекомендуется

Компания «Диасофт» такого уже не делает.

Александр Глазков, «Диасофт»:

– Мы будем брать отдельные кусочки ПО и смотреть, куда движется тренд. Проверить закладки в достаточной степени и гарантировать неуязвимость пока не можем. В течение какого-то времени будем придерживаться именно такой стратегии.

В случае необходимости компоненты с открытым кодом нужно быть готовым заменить, поддержал А.Глазкова основатель, директор по разработке и развитию продуктов «МойОфис» Дмитрий Комиссаров.

Дмитрий Комиссаров, «МойОфис»:

– Если два года не обновлять Windows и потом подключить компьютер к интернету, то он будет заражен мгновенно, это проверено. К сожалению, если вы не получаете обновления, то тот софт, который используется, становится «тыквой», и это очень большая проблема.

По его словам, сейчас происходят «совершенно фантастические события» – не просто массовый отзыв лицензий, а внедрение вредоносных программ «в гигантском количестве». Комиссаров подчеркивает, что

использование свободного ПО возможно только при наличии компаний или устойчивых коллективов, которые способны его поддерживать

Дмитрий Комиссаров, «МойОфис»:

– У нашего конкурента LibreOffice, который распространяет офисный пакет с открытым исходным кодом, есть компания, состоящая из одного выпускника лесотехнического техникума. Он говорит, что сам написал 40 млн строк и поддерживает их. Наверное, это неправильный пример.

Правильный, по его мнению, пример – когда у организации есть разработчики, экспертиза, а также контрибьюторы. Такой подход демонстрирует вендор системного ПО Астра Linux.

НЕ БОЯТЬСЯ И ЗАЩИЩАТЬСЯ

ГК «Астра» не видит «критических» проблем со свободным ПО и продолжит взаимодействие с Open Source, заявил глава группы Илья Сивцев на пресс-конференции.

Илья Сивцев, ГК «Астра»:

– Мы имеем в России свою сборочную систему, репозиторий и практически весь код проверяем достаточно досконально. Поэтому те продукты, которые затрагивают средства защиты информации, полностью нами контролируются. Продолжать взаимодействовать с открытым сообществом мы будем.

Не собирается отказываться от свободных решений и разработчик «Ред Софт», отметил заместитель гендиректора компании Рустам Рустамов.

Рустам Рустамов, «Ред Софт»:

– Мы считаем, что важно работать с сообществом свободного программного обеспечения, вносить в него больший вклад и повышать компетенции в этой части. Мы будем делать ставку на Open Source и наращивать свое участие в нем.

Несмотря на потрясения, все участники рынка вынуждены в той или иной мере продолжать пользоваться заимствованиями, полагает гендиректор «Алладин Р.Д.» Сергей Груздев.

Сергей Груздев, «Алладин Р.Д.»:

– Здесь важна задача анализа софта на уязвимость и написание правильного, чистого кода. Для этого должны быть внедрены процедуры разработки безопасного ПО – сканеры, тестирование и прочее.

«Аладдин Р.Д.» производит средства защиты и руководствуемся ГОСТ-Р 56939-2016 «Разработка безопасного программного обеспечения», рассказал в беседе с RSpectr руководитель направления по работе с технологическими партнерами компании Сергей Шалимов. «Аладдин Р.Д.» может заменить компоненты из Open Source на полностью отечественные, уверен он.

Сергей Шалимов, «Аладдин Р.Д.»:

– Мы полностью вычищаем потенциальные закладки. Более того, в РФ этот процесс уже довольно давно выстроен и ждать «троянских коней» в коде отечественных софтверных организаций не стоит.

Наложенные средства не могут гарантировать достаточный уровень защиты, отметил он и подчеркнул, что

только комплексный и системный подход от безопасного проектирования, проработки архитектуры до поддержки и обновления специалистами с профильным образованием по информбезопасности (ИБ), позволит уверенно говорить о надежной отечественной продукции

Напомним, что одним из стратегических направлений развития замглавы Минцифры Максим Паршин назвал Open Source (OS).

При необходимости российские IT-компании смогут заменить используемые компоненты с открытым кодом, пояснил RSpectr директор Центра Solar appScreener компании «Ростелеком-Солар» Даниил Чернов. Но если речь идет об элементах интерфейса, например, то проблему не решить архитектурными изменениями и придется переписывать ПО, чтобы уйти от использования Open Source, отметил эксперт. По его словам,

развитие встроенных механизмов безопасности приложений – очень важный тренд в условиях повышенных ИБ-рисков. Но это не отменяет необходимости применения наложенных средств

Даниил Чернов, «Ростелеком-Солар»:

– Например, веб-сайт с точки зрения архитектуры может не содержать уязвимостей и ему в меньшей степени понадобится фаервол веб-приложений (Web Application Firewall, WAF). Но если в нем имеются бреши и работает он на уязвимом Open Source ядре, тогда без внешней защиты не обойтись.

Директор по развитию продуктов ROBIN Иван Мельников уверен, что полная замена свободного ПО сейчас невозможна, так как у многого нет существующих аналогов. ROBIN использует подобные элементы для разработки своих продуктов, рассказал он RSpectr.

Иван Мельников, ROBIN:

– Мы изначально применяли изолированный подход с жестким и внимательным отбором: скачали все необходимые компоненты, приложения «собирали» без доступа к Сети. Любые изменения не затронут то, что уже есть. Ждем, что появится отечественный репозиторий, которому можно доверять.

У встроенных средств безопасности есть очевидные преимущества: например, нативная работа в операционной системе «без склеек», а также без привязки к какой-либо версии ядра, прокомментировал RSpectr менеджер продукта ОС РОСА «ХРОМ» Алексей Киселев. Но техподдержка чужого компонента, которая необходима для внешней защиты, иногда бывает затруднена, обратил внимание он.

Изображение: RSpectr, Adobe Stock