Коды хотят видеть приоткрытыми
Как в России развиваются платформы для работы с открытым ПО
Минцифры пересматривает эксперимент по созданию в России собственного государственного репозитория открытого года (Open Source). Один из предложенных правительству сценариев – использование в качестве площадки уже готового решения. Такие репозитории активно развивает ряд коммерческих компаний, однако трудности с реализацией проекта кроются не только в создании платформы как таковой, считают эксперты. "Ъ-Review" разбирался, что препятствует, а что способствует появлению независимой open source-платформы.
Фото: Дмитрий Лебедев, Коммерсантъ
Фото: Дмитрий Лебедев, Коммерсантъ
Как выяснил “Ъ” в середине апреля, Минцифры намерено внести изменения в ход эксперимента по созданию отечественного репозитория открытого кода. Он был запущен еще в ноябре 2022 года и должен был продлиться до конца апреля 2024. Однако весной этого года Министерство направило в правительство предложение, согласно которому «решено выбрать один из уже существующих общедоступных отечественных репозиториев вместо создания новой площадки». При положительном решении правительства эксперимент может быть возобновлен в ближайшие пару месяцев, ожидают в министерстве (см. “Ъ” от 18 апреля).
Также, согласно предложению Минцифры, средства ликвидируемого «Росинфокоминвеста», которые планировалось направить на создание репозитория (1,39 млрд руб.), будут использовать для поддержки наиболее востребованных проектов в сфере открытого программного обеспечения (ПО). Но обязательным условием для получателей станет размещение своих продуктов в российских репозиториях открытого ПО.
В целом идея создать независимое хранилище для работы с открытым ПО появилась после введения санкций в отношении российских компаний в 2022 году. Тогда создатели одного из самых популярных международных репозиториев, GitHub, закрыли доступ к аккаунтам нескольких крупных российских компаний: Сбербанка, Альфа-Банка, а также заблокировали доступ из определенных регионов.
Сейчас на российском рынке уже есть такие коммерческие площадки для работы с открытым кодом, как «РТК-Феникс» («Ростелеком»), «Сфера» (T1), GitVerse («Сбер»), GitFlic (компании «Ресолют», которая на 51% принадлежит «Группе Астра»). При этом в IT-отрасли в целом нет единой позиции по вопросу развития репозиториев: кто-то не готов делиться с ними своими наработками, но многие считают этот процесс необходимым сейчас.
Цель создания «российского репозитория» — иметь необходимую «кодовую базу» внутри страны, обеспечить необходимый цифровой суверенитет, считает директор по стратегии и развитию технологий Axiom JDK Роман Карпов. По его мнению, продвижением и организацией должны заниматься компании, производящие open source код. Но один из важнейших шагов — это подготовка инфраструктуры и соответствующей информационной системы, включающей функционал хранения кода, управления версиями и предоставления доступа. При этом государство может помочь именно с инфраструктурой, стимулировать ВУЗы и госпредприятия к наполнению, говорит Роман Карпов.
Другие эксперты видят будущее репозиториев в России за расширением их возможностей, как минимум до уровня международных площадок. «За счет продажи расширенного функционала для команд разработки есть варианты коммерциализации данного направления»,— объясняет технический директор IT-компании Simpl (Simpl Group) Илья Старков. Иностранные аналоги, к примеру, GItHub, позволяют использовать командную работу над кодом, автоматизированную сборку тестовых стендов приложения при изменениях и т. д. Желательно, чтобы работа с ним в российских решениях не создавала дополнительных проблем и препятствий и была аналогична функционалу с популярными мировыми репозиториями, заключает он. При этом эксперт напоминает, что нужно быть очень внимательным, так как недосмотр в разработке «повлечет за собой риски при сборке приложений: утечку данных, удаление файлов, уязвимости при хакерских атаках».
Безопасность – источник сомнений
Угрозы кибербезопасности репозиториев — проблема не только российского рынка. Например, 29 марта инженер Microsoft сообщил об уязвимости в коде Linux. Целью хакера, написавшего вредоносный код, был SSH - самый популярный протокол подключения к Linux-серверам, рассказал “Ъ” инженер DevOps «ТеДо» Максим Балтин. Инженер обнаружил уязвимость случайно: она больше месяца оставалась незамеченной. Еще месяц-два — и она вместе с обновлениями отправилась бы на миллионы серверов по всему миру, открывая доступ к этим серверам для хакера, говорит он. «Почему же "сила сообщества" не сработала, и никто не заметил уязвимость раньше?», — рассуждает эксперт. Потому что ее внедрил не сторонний хакер, а куратор данного кода, проверенный сообществом разработчик, поясняет он.
Максим Балтин считает, что репутационная угроза для Open Source может оказаться гораздо серьезнее, чем реальные технические последствия. Данный инцидент напомнил, что, несмотря на сообщество, у каждого кода все же есть конкретный владелец, что создает угрозу для миллионов пользователей по всему миру. «Таким образом, ни одной технологии нельзя доверять по умолчанию»,— отмечает он.
С угрозами свободного распространения ПО в репозиториях соглашается технический директор ГК InfoWatch Андрей Бирюков: «Первый риск – это умышленные вредоносные закладки в библиотеках, и действительно есть ненулевая вероятность получить их вместе с обновлениями. После февраля 2022 года было много попыток "зашить" в код умышленные закладки, например, с политическими лозунгами, но большинство из них отсекались на уровне ревью в профильном сообществе до публикации в открытом доступе». Однако такой риск в любом случае сохраняется, отмечает он.
Еще один – более сложные атаки на сам репозиторий, считает Андрей Бирюков. Например, злоумышленники создают копию популярного репозитория с похожим названием, размещают там вредоносный код, и поскольку этот репозиторий контролируется злоумышленниками, в нем может оказаться все что угодно. И разработчики по ошибке могут взять эту библиотеку и получить с ней вредоносное ПО. Например, в 2022 году была масштабная целенаправленная атака на GitHub, когда злоумышленники клонировали репозитории пользователей и заражали их вредоносным кодом с целью дальнейших атак, предупреждает эксперт.
Необходимость в развитии
Несмотря на санкционное давление и ускоренное импортозамещение в ключевых отраслях, которое повышает нагрузку на российскую IT-отрасль, она показывает активную динамику. По данным совместного исследования Минцифры РФ и Высшей школы экономики, объем реализации продуктов собственной разработки и IT-услуг увеличился с 2019 по 2023 год в 2,5 раза и составил 3,1 трлн руб. В среднем за год показатель рос на 26%.
Однако эксперты напоминают, что в России около 80% IT-решений в реестре отечественного ПО разрабатываются с использование открытого кода, и наращиваются объемы open-source библиотек в IT-разработке для финтеха, банковского, страхового рынка, e-commerce и массовых цифровых сервисов. Поэтому в России стоит использовать опыт зарубежных проектов (например, GitHub, GitLab и др.), считает руководитель отдела развития бизнеса Angara Security Андрей Макаренко, но с акцентом на безопасность открытого кода.
При этом директор по технологиям ГК «Цифра» Никита Куприянов напоминает, что на 2023 год количество репозиториев на самой популярной в мире коммерческой платформе (GitHub) увеличивается в среднем на 27%, больше половины репозиториев (284 млн) — с открытым исходным кодом, сообщество пользователей достигло 100 млн в прошлом году, и Россия занимает 6 место по величине. «Это самый популярный ежегодно развивающийся и полностью коммерческий продукт»,— признает эксперт. Безусловно, перспективы в данной отрасли огромны, особенно в условиях развития технологий машинного обучения в последнее время. У востребованного пользователями коммерческого продукта с работающей бизнес-моделью, инвестициями в виде грантов и долгосрочным коммерческим эффектом есть все шансы получить лояльность и помощь сообщества в развитии. Однако, считает господин Куприянов, если в России создают копию зарубежного аналога, то отрасль будет вынуждена «бесконечно бежать за оригиналом».
В большинстве случаев у крупных компаний есть собственные внутренние репозитории, а публичные используются крайне редко, отмечает замгендиректора Postgres Professional Иван Панченко. Но некоторые российские организации все же осознавали важность открытого кода и создали несколько публичных репозиториев, не дожидаясь, пока это станет государственной задачей. При этом, по его мнению, дело не только в площадке для хранения и разработки кода, но и в кадровом вопросе отрасли: «сейчас в реестре российского ПО — порядка 100 СУБД, значительная часть которых основана именно на open source», но по-настоящему опытных команд, способных разбираться в коде на уровне ядра, исправлять уязвимости и дополнять код надежными решениями — считанные единицы, признает Иван Панченко.