Безопасность использования открытого ПО остается ключевым вопросом на фоне продолжающегося импортозамещения. Наиболее остро этот вопрос стоит для государственных структур и бизнеса, особенно организаций, относящихся к критической информационной инфраструктуре (КИИ). По словам Сергея Безбогова, заместителя руководителя технологического блока — старшего вице-президента ВТБ, с точки зрения компаний, главное условие доверия к открытому коду — это возможность его проверки и дальнейшего развития. В свою очередь, Дмитрий Харитонов, генеральный директор ИТ-холдинга Т1, отметил, что со стороны вендора доверенность ПО определяется тремя критериями — техническим, юридическим и операционным. Во-первых, компания должна иметь возможность проверить сборку кода и протестировать его. Во-вторых, должна быть уверенность в том, что поставляемый вендором софт имеет лицензию и соблюдает требования клиента или регулятора. И, в-третьих, разработчик должен иметь возможность обеспечить дальнейшую работоспособность такого программного обеспечения.
Поэтому задача по формированию доверенного репозитория открытого ПО в первую очередь ставит перед собой вопрос прозрачности технологического стека каждого решения. Сергей Безбогов предложил начать с обмена проверенными по общим методикам библиотеками между крупнейшими игроками. По его словам, инициатива в этом процессе должна исходить от самих компаний. "Сегодня каждая крупная организация вынуждена самостоятельно проводить многоуровневые проверки библиотек, что занимает в лучшем случае несколько дней, а то и недели и месяцы. Необходимо выстроить систему, при которой библиотека проверяется один раз, а результаты этой проверки становятся доступны остальным участникам", — отметил спикер.
Более того, Алексей Хорошилов, руководитель Центра исследований безопасности системного программного обеспечения ИСП РАН, выделил дополнительные положительные эффекты, к которым потенциально может привести создание репозитория. "Что касается доверия и вопросов исследования безопасности, то в нашей стране действительно развиты практики, методики и технологии анализа open-source компонентов. В мире не так много государств располагают передовыми инструментами статического анализа. И мы видим растущий интерес к этим технологиям со стороны зарубежных коллег, в первую очередь из стран БРИКС, которые готовы внедрять наши подходы. Центр, созданный под эгидой ФСТЭК России, уже продемонстрировал принципиальную возможность реализации идеи совместного анализа open-source компонентов на примере разработчиков средств защиты информации. Предложения коллег из финансовой отрасли открывает новые перспективы для масштабирования подхода как внутри России, так и на международном уровне", — отметил он.
Особое внимание в ходе обсуждения было посвящено требованиям к оператору репозитория. Дмитрий Харитонов, глава Т1, в своей речи сформулировал критерии, которым такая организация должна соответствовать, чтобы отвечать запросам государства и бизнеса.
"Во-первых, у компании должна быть необходимая экспертиза внутри, чтобы не просто тестировать код и получать сертификаты, а полноценно управлять разработкой, исправлять дефекты, вносить изменения и поддерживать продукт. Во-вторых, для работы с объектами критической инфраструктуры должен использоваться доверенный софт, а сама компания обязана иметь опыт работы с такими объектами. Без понимания уровня серьезности и специфики этой сферы компания просто не может быть допущена. Важен и фактор финансовой стабильности — оператор не должен исчезнуть с рынка завтра, это элементарная гарантия надежности и уверенности партнеров друг в друге. Кроме того, свою роль играет и регуляторика: официально подтвержденный статус системно значимой компании может служить дополнительным критерием доверия и надежности", — поделился Дмитрий Харитонов.
Кроме того, эксперты сошлись во мнении, что доверие к открытым компонентам невозможно без доверия к доработкам, которые компании создают на их базе. Евгений Абакумов, директор по информационным и цифровым технологиям Росатома, предложил выкладывать в общий репозиторий как исходный open source, так и те компоненты, которые разрабатываются на его базе внутри компаний — чтобы не тратить ресурсы на повторное решение типовых задач. "Мы видим необходимость в саморегуляции процессов подтверждения качества. Компании могут не только использовать, но и совместно формировать базу компонентов и библиотек на основе открытого кода, чтобы усилить синергию и оптимизировать затраты".
При этом российский бизнес уже выстроил существенную часть инфраструктуры для реализации доверенного репозитория. По словам Антона Атояна, заместителя генерального директора — директора департамента Сбербанк-Технологии, в России уже существуют крупные репозитории, а также накоплен значительный опыт их безопасной эксплуатации. "Сегодня важно совместно с регулятором утвердить прозрачные критерии доверия и единые правила, которые и дальше позволят компаниям уверенно использовать и развивать открытое ПО", — заключил он.
Участники дискуссии обсудили и дальнейшие шаги в развитии экосистемы репозитория. Среди них — подключение профильных регуляторов для разработки прозрачных методик и создание устойчивой экосистемы доверенного открытого кода, которая позволит бизнесу и государству использовать open-source более безопасно и эффективно. В качестве итога дискуссии спикеры договорились совместно провести пилот по выработке критериев и технико-экономических показателей доверенного репозитория, как безопасной среды для разработки на примере реализации Концепции ИТ-холдинга Т1, разработанной совместно с ВТБ.