Иван Панченко, Postgres Professional: «Потенциально опасным является любой программный код»

0

Популярность программных решений с открытым исходным кодом значительно выросла за последние несколько лет. Раньше, открытый код воспринимался разработчиками и пользователями с настороженностью. Считалось, что операционные системы с закрытым кодом лучше защищены. Но со временем обнажилась проблема закрытых систем – наличие скрытых разработчиками функций, которые могли работать против пользователя. Последние события на рынке ПО в России и СНГ стали катализатором процессов, которые ускорят разработку открытого ПО. О перспективах этого мы поговорили с сооснователем Postgres Professional Иваном Панченко.

«Открытый исходный код, несомненно, привлекает внимание»

Насколько оправданы опасения, что открытый код — это открытая дверь для преступников?

Открытый исходный код, несомненно, привлекает внимание не только добросовестных разработчиков, которые вносят свой вклад в улучшение кода, но и злоумышленников, ищущих в нём уязвимости с целью их дальнейшей эксплуатации. Однако в области безопасности открытые исходники имеют определённые достоинства. Они дают возможность изучать код кому угодно, и существует так называемый «Закон Линуса», сформулированный одним из основателей движения открытого кода, Эриком Раймондом, гласящий, что «при достаточном количестве глаз, все баги на поверхности».

Иван Панченко, Postgres Professional: «Потенциально опасным является любой программный код»

Иван Панченко, Postgres Professional

Этот принцип работает, но вопрос о том, какое количество глаз, читающих код, считать достаточным, не имеет однозначного решения. Для простых и очень популярных продуктов он, по-видимому, работает, но для сложных для понимания или имеющих небольшое сообщество продуктов — скорее всего, нет. Поэтому существует мнение, что код, который будет читать больше взломщиков, чем добрых людей, лучше не публиковать.

Важно помнить также, что и для автоматического анализа с целью поиска ошибок и потенциальных уязвимостей открытый код лучше закрытого. Поэтому, когда мы берём для использования чужой продукт с открытым кодом, у нас больше возможностей убедиться, что вместе с ним мы не получаем что-либо вредоносное.

Правильнее сказать, что открытой дверью для киберпреступников является безответственное использование кода (а потенциально опасным является любой программный код) и пренебрежение мерами ИБ.

Производители программных решений с закрытым кодом часто оправдывают свое решение не открывать доступ именно безопасностью?

Да, часто бывает и так. Тут важно, насколько вы доверяете производителю. Часто программный код, закрытый для пользователя, открывается проверяющим органам.

«Принципы открытого исходного кода и свободного программного обеспечения предусматривают равный доступ к нему для всех»

Насколько решения с открытым кодом остаются открытыми в любой ситуации? Возможно ли запретить использование открытых решений?

Принципы открытого исходного кода и свободного программного обеспечения предусматривают равный доступ к нему для всех. Однако правообладатели кода вправе делать с ним что угодно — в т.ч. изменять лицензионное соглашение, в котором указаны условия использования и распространения кода.

Уже опубликованный код, если пользователи его скачали, они могут использовать на основе той лицензии, которая действовал на момент скачивания.

Каждую конкретную ситуацию нужно рассматривать отдельно, для этого надо анализировать не только действующую сейчас лицензию, но и кто является правообладателем, какие зависимости и продукта и какие ограничения на лицензию накладывается их лицензиями, и т. п. Случаи бываю очень разные.

При этом надо понимать, что принципы открытого кода не запрещают, не изменяя лицензии, внести в код что-нибудь вроде «Если фамилия пользователя — Иванов, перестать работать», или запретить доступ на сайт с документацией с домашнего IP-адреса этого Иванова, и т.п.

Почему крупные корпорации предпочитают использовать решения с закрытым кодом? В разные годы их активно за это критикуют, но кардинально положение не меняется?

Тут дело не в открытости или закрытости кода, а в зрелости тех или иных продуктов. Операционную систему Linux, СУБД PostgreSQL и многие другие свободные продукты давно и активно используются крупнейшими корпорациями.

Но для корпораций часто бывает важно получить из одних рук вертикально интегрированное, гарантированно работающее решение, за работоспособность которого кто-то будет отвечать. Из отлично работающих открытых компонент решение, как правило, придётся собирать руками, и на стыках будут естественные проблемы. Кроме того, далеко не по всем свободным продуктам есть вендор или интегратор, готовый обеспечить качественную техподдержку и внедрение.

Иван Панченко, Postgres Professional: «Потенциально опасным является любой программный код»

В чем заключается кардинальные отличия операционных систем с открытым и закрытым исходным кодом?

Над открытыми ОС работает огромное количество разработчиков из многих компаний. Участвуют и компании, занимающиеся разработкой проприетарных ОC, например, Microsoft.
Такую интеллектуальную мощь, которой обладает сообщество разработчиков Linux, не может собрать ни одна компания.  Открытые ОС в течение последних 20 лет активно вытесняют закрытые — вначале с рынка серверов, но вскоре будут доминировать и на десктопах – сами они к этому готовы давно, но требуется экосистема прикладных программ.

Могут ли разработчики закрытого ПО закладывать в архитектуру своих решений недокументированные опции? Какие это опции могут быть?

Могут и, как известно, делают. Чаще всего это опции, позволяющие программам от одного производителя лучше взаимодействовать между собой — это помогает в конкурентной борьбе. Но это могут быть и возможности для удалённого сбора данных об использовании ПО, а иногда — для удалённого управления.

«Популярность открытых решений растёт во всём мире»

Почему, на ваш взгляд, популярность открытых решений не растет? Ведь при всей привлекательности и универсальности открытых систем, доля закрытых не уменьшается? Можно ли прогнозировать, что при определенных условиях доля открытых систем вырастет? Какие условия должны для этого состояться?

Популярность открытых решений растёт во всём мире с самого начала их возникновения. Но это происходит не во всех областях. Прежде всего открытые решения сейчас используются на серверах, о чём конечный пользователь и не догадывается. Практически весь интернет работает на открытых решениях. Из ПО для конечного пользователя можно обратить внимание на драматическую битву Internet Explorer с Firefox и Chrome.

Однако утверждать, что открытый софт вытеснит закрытый полностью — нельзя. В областях, где открытая модель разработки неэффективна, будет и дальше доминировать закрытый софт. Но точка равновесия между открытой и закрытой моделью разработки не стоит на месте, она смещается вместе с мировой культурной, политической и экономической обстановкой.

Насколько в России нужны решения с открытым кодом и в каких сферах больше всего?

Для современной России решения с открытым кодом могут помочь избавиться от зависимостей, разрушающихся вместе с международными экономическими связями. Предпочтительнее, конечно, код, разработанный в России, хотя бы частично. Выше я говорил, что использование кода, в котором никто не смыслит, может быть опасным.

Поэтому правильнее говорить, что России нужен российский код, а открыт он или закрыт – вопрос второй.

Существует огромное количество российских проприетарных решений, которые в силу давления иностранных корпораций не могли занять свою нишу на рынке. Сейчас у них есть шанс. Разработчики сами отрегулируют, что открывать, что закрывать, где работать на основе открытого кода, а где – не использовать его. Важно понимать, что открытый код ценен не сам по себе, а потому, что это эффективное средство для решения определённых задач разработки ПО.

Иван Панченко, Postgres Professional: «Потенциально опасным является любой программный код»

Открытый код позволяет защитить авторское право на разработку? Ведь хорошие идеи быстро скопируют.

Распространение открытого кода стало возможным благодаря развитой системе защиты интеллектуальной собственности в западных странах. Отечественную систему защиты интеллектуальной собственности необходимо развивать и укреплять, она может стать одним из стимулов экономического развития в высокотехнологичных отраслях, в т.ч. в ИТ.
Да, хорошие идеи могут быстро скопировать, и так часто происходит в мире открытого кода, причём с разрешения авторов этих идей. Распространение и копирование идей не всегда запрещено. Все определяет автор (правообладатель), и юридическая система должна давать ему возможность эффективно пользоваться своими правами.

Есть ли понимание на государственном уровне в России, что разработка систем с открытым кодом — это важно? Можно ли под открытие решения привлечь инвестиции или государственное финансирование и надо ли это делать?

Да, такое понимание есть. Об этом свидетельствует, например, выступления заместителя Министра цифрового развития М. В. Паршина на ПМЭФ и на российском Open Source саммите в 2021 года. Поддержка разработки открытого ПО внесена во второй пакет мер поддержки ИТ-отрасли.

Что касается государственных субсидий и инвесторов – конечно, можно. Рекомендую обратить внимание на программы фонда РФРИТ и Фонда Бортника. Конечно, необходимость убедить экспертов фондов или инвесторов в целесообразности проекта остаётся. Открытие решения хорошо не само по себе, а только если оно позволяет достичь каких-то экономических или технологических целей.

Digital Report
Share.

About Author

Digital-Report.ru — информационно-аналитический портал, который отслеживает изменения цифровой экономики. Мы описываем все технологические тренды, делаем обзоры устройств и технологических событий, которые влияют на жизнь людей.

Comments are closed.