Безопасно ли свободное ПО?

Минкомсвязи ещё в прошлом году начало тестировать новый сайт, а на этой неделе он был запущен как официальный. В его разделе «Направления деятельности» обнаруживается документ «Свободное программное обеспечение в госорганах», в котором излагается отношение российского государства к использованию такого ПО. Среди прочих аргументов «за» приводится следующий: «…СПО более безопасно. Многие проприетарные приложения от известных производителей содержат недокументированные функции, что является потенциальной угрозой.  Доступ к исходным кодам программы даёт возможность контролировать этот аспект».

Именно данный пункт вызвал больше всего споров среди специалистов по информационной безопасности. В частности, Сергей Гордейчик, заместитель генерального директора Positive Technologies, говорит в своём блоге: «Многие из открытых приложений тоже содержат недокументированные функции. Ну, просто парни забыли документацию дописать. Более того, ряд документированных функций является потенциальной угрозой. Если ты хочешь быть более уверенным в безопасности кода, надо сделать следующее. 1. Найти «крайнего» (внутреннего или внешнего, например производителя). 2. Вменить ему в обязанность этим заниматься. 3. Обеспечить силами и средствами. 4. Внедрять SDL, configuration management, управление уязвимостями. И без разницы, идет ли речь о свободном или проприетарном ПО. Да, исходные коды облегчают этот процесс, но не делают его бесплатным!».

Собственно, многие эксперты говорят о возможности сделать свободное ПО более безопасным, но это ещё не означает, что всё свободно распространяемое ПО действительно безопасно. События прошлого года, связанные с проектами OpenSSL и bash, показывают, что аудит кода в них не проводился никогда. И если разработчики данных проектов хотят и дальше оставаться на рынке, им необходимо проверять свой код на безопасность хотя бы перед выпуском финальной версии, как делают разработчики коммерческого ПО.

Эксперт BISA Андрей Бешков отмечает, что ещё одной проблемой использования свободного ПО в госорганах является потенциальная коррупционная составляющая проектов. Хотя на сайте министерства среди основных достоинств СПО указываются «дешевизна и антикоррупционность», на деле всё может оказаться с точностью до наоборот. Заказчик не всегда знает, какова реальная стоимость разработки проекта на основе СПО, поэтому может купить уже написанный продукт по цене заказной разработки. «Особенно порадовала «антикоррупционность» СПО. Когда неизвестно, сколько стоит работа, и никаких норм нет, то коррупция, конечно же, не возникнет», – язвит Бешков.

В целом же текст выглядит непроработанным – будто на тестовом сайте опубликован тестовый документ. Юлия Кольдичева, директор по связям с общественностью компании Digital Security, резюмирует: «На волне импортозамещения тема «безопасного» СПО активно обсуждалась с весны по начало осени 2014 г. в многочисленных выступлениях, статьях и комментариях специалистов. В данном же случае Минкомсвязи, видимо по ошибке, разместило на бета-версии своего нового сайта основную древнюю мантру лоббистов свободного ПО «Открытое = безопасное». После выявления в прошлом году в проектах с открытыми кодами серьезных уязвимостей, прогремевших на весь мир (о них сложно было не услышать), эта мантра на официальном сайте министерства не может не вызвать, как минимум, легкого удивления».