Софт с сюрпризом
Так ли опасен открытый исходный код и что сейчас с ним делать
На фоне массированных кибератак и ухода иностранных вендоров IT-специалисты все чаще сталкиваются с рисками использования свободного ПО (Open Source). Часто в бесплатном элементе скрывается специально заложенная уязвимость, которая создает серьезные угрозы. Готовы ли российские разработчики при необходимости полностью заменить компоненты с открытым кодом и нужен ли переход от «наложенных» средств защиты к встроенным – в материале RSpectr.
ТАМ ЧТО-ТО ШЕВЕЛИТСЯ
«Техдирский клуб» опубликовал перечень проектов с открытым кодом, содержащих вредоносные компоненты, написал в своем блоге на «Хабре» основатель объединения Дмитрий Симонов.
«В связи с появившимися случаями встраивания политических лозунгов, а теперь и Malware (вредоносное ПО. – Прим. RSpectr.) и шифровальщиков в Open Source, которые несут реальные риски, мы начинаем вести список опасных для использования продуктов», – говорится в преамбуле каталога.
Согласно данным исследования Accenture и Фонда «Сколково», софт с открытым кодом в 2026 году будут применять более 90% российских компаний. В 2021-м этот показатель составил 79 процентов.
В открытые сообщества запросто можно внедрить киберзакладки, за последний месяц риски использования свободного кода резко усилились, рассказал RSpectr управляющий директор, председатель совета директоров компании «Диасофт» Александр Глазков.
Александр Глазков, «Диасофт»:
– Сейчас это острейшая проблема. Мы и раньше говорили: общее – это не российское. Конечно, можно установить цикл безопасной разработки, проверять на сюрпризы, но они все равно будут просачиваться.
Если компания не разбирается в используемом софте, не способна его развивать и исправлять – это создает проблемы для всех, подчеркнул А.Глазков на пресс-конференции НП «РУССОФТ».
По его мнению,
это вызов для отечественных разработчиков – взять ответственность за подобную задачу внутри страны. Пока же можно только наблюдать, как развивается Open Source сообщество, но скачивать что-то сейчас не рекомендуется
Компания «Диасофт» такого уже не делает.
Александр Глазков, «Диасофт»:
– Мы будем брать отдельные кусочки ПО и смотреть, куда движется тренд. Проверить закладки в достаточной степени и гарантировать неуязвимость пока не можем. В течение какого-то времени будем придерживаться именно такой стратегии.
В случае необходимости компоненты с открытым кодом нужно быть готовым заменить, поддержал А.Глазкова основатель, директор по разработке и развитию продуктов «МойОфис» Дмитрий Комиссаров.
Дмитрий Комиссаров, «МойОфис»:
– Если два года не обновлять Windows и потом подключить компьютер к интернету, то он будет заражен мгновенно, это проверено. К сожалению, если вы не получаете обновления, то тот софт, который используется, становится «тыквой», и это очень большая проблема.
По его словам, сейчас происходят «совершенно фантастические события» – не просто массовый отзыв лицензий, а внедрение вредоносных программ «в гигантском количестве». Комиссаров подчеркивает, что
использование свободного ПО возможно только при наличии компаний или устойчивых коллективов, которые способны его поддерживать
Дмитрий Комиссаров, «МойОфис»:
– У нашего конкурента LibreOffice, который распространяет офисный пакет с открытым исходным кодом, есть компания, состоящая из одного выпускника лесотехнического техникума. Он говорит, что сам написал 40 млн строк и поддерживает их. Наверное, это неправильный пример.
Правильный, по его мнению, пример – когда у организации есть разработчики, экспертиза, а также контрибьюторы. Такой подход демонстрирует вендор системного ПО Астра Linux.
НЕ БОЯТЬСЯ И ЗАЩИЩАТЬСЯ
ГК «Астра» не видит «критических» проблем со свободным ПО и продолжит взаимодействие с Open Source, заявил глава группы Илья Сивцев на пресс-конференции.
Илья Сивцев, ГК «Астра»:
– Мы имеем в России свою сборочную систему, репозиторий и практически весь код проверяем достаточно досконально. Поэтому те продукты, которые затрагивают средства защиты информации, полностью нами контролируются. Продолжать взаимодействовать с открытым сообществом мы будем.
Не собирается отказываться от свободных решений и разработчик «Ред Софт», отметил заместитель гендиректора компании Рустам Рустамов.
Рустам Рустамов, «Ред Софт»:
– Мы считаем, что важно работать с сообществом свободного программного обеспечения, вносить в него больший вклад и повышать компетенции в этой части. Мы будем делать ставку на Open Source и наращивать свое участие в нем.
Несмотря на потрясения, все участники рынка вынуждены в той или иной мере продолжать пользоваться заимствованиями, полагает гендиректор «Алладин Р.Д.» Сергей Груздев.
Сергей Груздев, «Алладин Р.Д.»:
– Здесь важна задача анализа софта на уязвимость и написание правильного, чистого кода. Для этого должны быть внедрены процедуры разработки безопасного ПО – сканеры, тестирование и прочее.
«Аладдин Р.Д.» производит средства защиты и руководствуемся ГОСТ-Р 56939-2016 «Разработка безопасного программного обеспечения», рассказал в беседе с RSpectr руководитель направления по работе с технологическими партнерами компании Сергей Шалимов. «Аладдин Р.Д.» может заменить компоненты из Open Source на полностью отечественные, уверен он.
Сергей Шалимов, «Аладдин Р.Д.»:
– Мы полностью вычищаем потенциальные закладки. Более того, в РФ этот процесс уже довольно давно выстроен и ждать «троянских коней» в коде отечественных софтверных организаций не стоит.
Наложенные средства не могут гарантировать достаточный уровень защиты, отметил он и подчеркнул, что
только комплексный и системный подход от безопасного проектирования, проработки архитектуры до поддержки и обновления специалистами с профильным образованием по информбезопасности (ИБ), позволит уверенно говорить о надежной отечественной продукции
Напомним, что одним из стратегических направлений развития замглавы Минцифры Максим Паршин назвал Open Source (OS).
При необходимости российские IT-компании смогут заменить используемые компоненты с открытым кодом, пояснил RSpectr директор Центра Solar appScreener компании «Ростелеком-Солар» Даниил Чернов. Но если речь идет об элементах интерфейса, например, то проблему не решить архитектурными изменениями и придется переписывать ПО, чтобы уйти от использования Open Source, отметил эксперт. По его словам,
развитие встроенных механизмов безопасности приложений – очень важный тренд в условиях повышенных ИБ-рисков. Но это не отменяет необходимости применения наложенных средств
Даниил Чернов, «Ростелеком-Солар»:
– Например, веб-сайт с точки зрения архитектуры может не содержать уязвимостей и ему в меньшей степени понадобится фаервол веб-приложений (Web Application Firewall, WAF). Но если в нем имеются бреши и работает он на уязвимом Open Source ядре, тогда без внешней защиты не обойтись.
Директор по развитию продуктов ROBIN Иван Мельников уверен, что полная замена свободного ПО сейчас невозможна, так как у многого нет существующих аналогов. ROBIN использует подобные элементы для разработки своих продуктов, рассказал он RSpectr.
Иван Мельников, ROBIN:
– Мы изначально применяли изолированный подход с жестким и внимательным отбором: скачали все необходимые компоненты, приложения «собирали» без доступа к Сети. Любые изменения не затронут то, что уже есть. Ждем, что появится отечественный репозиторий, которому можно доверять.
У встроенных средств безопасности есть очевидные преимущества: например, нативная работа в операционной системе «без склеек», а также без привязки к какой-либо версии ядра, прокомментировал RSpectr менеджер продукта ОС РОСА «ХРОМ» Алексей Киселев. Но техподдержка чужого компонента, которая необходима для внешней защиты, иногда бывает затруднена, обратил внимание он.
Изображение: RSpectr, Adobe Stock