Пришла беда откуда не ждали

Как оказалось, еще осенью 2020 г. Марак Сквайрс высказывался, что не хочет бесплатно помогать тем, кто использует его разработки для коммерческих проектов: "При всем уважении, я больше не собираюсь поддерживать компании из списка Fortune 500 и меньшего размера своей бесплатной работой. Воспользуйтесь этим как возможностью прислать мне годовой контракт с шестизначной суммой или раскошельтесь на проект и попросите кого-нибудь другого поработать над ним".

Генеральный директор компании "Р7-Офис" Наталия Агафонова так прокомментировала данный инцидент: "Такие крайние ситуации происходят нечасто. И если говорить о крайностях, то недопустимо также использование в коммерческих целях общедоступных разработок, когда просто меняется название и логотип, и в результате фактически общедоступное ПО поступает в продажу как собственный продукт некоего разработчика".

Директор департамента развития системных продуктов "Ред Софт" Роман Симаков сравнил такого рода инциденты с ДТП: "Конечно, аварии случаются, но все же основная масса может передвигаться без происшествий".

Председатель совета директоров "Базальт СПО" Алексей Смирнов также предупреждает, что бесконтрольное использование свободных компонент сопряжено с серьезным риском, что и показал пример данного инцидента: "Корпорации, которые использовали эту библиотеку в своих системах, не должны были бездумно и без проверки использовать новую версию. Им следовало либо вступить в договорные отношения с разработчиком - чего он и хотел, - либо самостоятельно продолжать разработку в нужном направлении и самостоятельно проверять работоспособность".

Генеральный директор BellSoft Александр Белокрылов считает данный инцидент симптомом системной проблемы: "Идея открытых технологий не в том, что продукт бесплатный, а в том, что код открыт. И если разработчик такой код использует в корпоративных или государственных системах, то он должен обладать соответствующей экспертизой полного цикла сопровождения такого заимствованного кода. Если такой экспертизы нет, то он должен иметь контракт с технологическим партнером, который предоставит такую услугу или лицензию на продукт, основанный на этом коде и реализующий такую функциональность".

При этом, как напоминает Александр Белокрылов, в платформе "Гостех" много заимствованных компонент из проектов с открытым исходным кодом, что порождает целый ряд законных вопросов: "Как они поддерживаются? Какова внутренняя экспертиза по развитию и сопровождению этих открытых компонент? При этом доступны отечественные продукты из реестра отечественного ПО, которые реализуют этот функционал. Например, среда исполнения Java Liberica JDK Pro, сервер приложений LiberСat, СУБД Postgres Pro и др. И компании - производители такого ПО несут за него ответственность, в том числе осуществляют круглосуточную поддержку на русском языке".

Всяческого рода сложности возникают регулярно, причем без злого умысла разработчиков. Как правило, они связаны с наличием серьезных уязвимостей (см., например, новость ComNews от 1 февраля 2022 г.). Надо сказать, это не самый показательный случай. Как отметил директор экспертного центра безопасности Positive Technologies Алексей Новиков на пресс-конференции, посвященной подведению итогов года, уязвимость в библиотеке Log4j создала фронт работ для специалистов по безопасности на месяцы вперед (см. новость ComNews от 24 января 2022 г.). Причем обе эти уязвимости существовали много лет, и не исключено, что о них знали потенциальные злоумышленники, но не подозревали разработчики и пользователи.

Однако если за продуктом, пусть и созданным на базе свободного ПО, стоит компания, то ситуация меняется. "Что касается наших дистрибутивов, то мы берем их поддержку на себя. Для этого мы проводим полноценное тестирование, а наши разработчики участвуют в ключевых международных проектах разработки СПО. То есть мы участвуем в разработке и ядра ОС, и ключевых библиотек, и в состоянии их поддерживать", - так комментирует отличие дистрибутивов AltLinux, которые входят в Реестр российского ПО, от тех, за которыми стоит лишь сообщество разработчиков, Алексей Смирнов из "Базальт СПО". А Роман Симаков из "Ред Софт" видит активное участие в сообществах разработчиков единственно возможным способом влиять на качество "дикорастущих" продуктов с открытым кодом.

"Нет, такая ситуация невозможна. Наши продукты являются коммерческими для использования в корпоративных и государственных системах. В поставку включена лицензия на поддержку, - уверен Александр Белокрылов из BellSoft. - Культура использования СПО в том числе подразумевает ответственность за код, который заимствуется у сообщества. Как минимум - это ИТ-гигиена, то есть своевременная установка обновлений безопасности. В идеале же нужно иметь внутреннюю экспертизу разработчиков, которые умеют апстримить (добавлять функционал в наиболее актуальную версию проекта) и бэкпортить (поддерживать устаревшие версии). А если такой экспертизы нет, то необходимым условием для допуска в промышленную эксплуатацию является использование ПО от разработчиков, предоставляющих гарантийную поддержку на свою продукцию, в соответствии с необходимым SLA. Мы в BellSoft это обеспечиваем, поэтому описанная в запросе ситуация исключается".

"В компании "Ред Софт" внедрены процессы контроля качества. Мы тщательно проводим тестирование, прежде чем выпустить очередной релиз продукта. Безусловно все пользователи Open Source подвержены риску в той или иной степени, но мы делаем все, чтобы этого не допустить", - заверил Роман Симаков.

Однако проблемы, как напоминает Наталия Агафонова из "Р7-Офис", могут возникать и с проприетарными компонентами, а не только с СПО. "Остановка разработки и прекращение поддержки может произойти и в проприетарных компонентах, которые компании приобретают и включают в свой стек разработки", - предостерегает она.