Открытый код нараспашку

На фоне ухода из России западных вендоров общесистемного и специализированного софта на рынке начал активно развиваться сегмент Open Source разработки. По данным Института изучения мировых рынков (ИИМР; опросили более 100 крупных российских компаний с госучастием и без), доля коммерческого кода Commercial Open Source Software; COSS) в российских компаниях в 2023 году достигла 12%, в то время как годом ранее показатель составлял 4%. «Ъ» разбирался, в чем плюсы и минусы разработки на открытом коде, а также какие преимущества бизнес может получить при использовании подобных разработок.

Выйти из полноэкранного режима

Развернуть на весь экран

В чем специфика Open Source

Open Source — это программное обеспечение (ПО), которое поставляется конечному пользователю с открытым исходным кодом по свободной лицензии. Это означает, что конкретную программу можно доработать под свои нужды, купить и выложить в свободный доступ и это не нарушит ничьих авторских прав. Решения Open Source, по сути, продукт коллективного автора — над программами работают разработчики со всего мира. «Open Source развивается потому, что для разработки серьезных продуктов нужны колоссальные ресурсы, поэтому нужна какая-то кооперация, в том числе и между конкурирующими разработчиками»,— объясняет председатель совета директоров «Базальт СПО» Алексей Смирнов (разработчик ОС ALT Linux и Simply Linux).

Самый известный пример Open Source — операционная система Linux, которую создал в ответ на фактическую монополию продукции фирмы Microsoft финский программист Линус Торвальдс. Благодаря ему компьютер на базе современной операционной системы (ОС) стал доступен каждому, потому что Торвальдс выложил в интернет исходный код своей ОС.

Протокол TCP/IP, по которому работает сеть Интернет, тоже создан на основе свободного исходного кода, хотя на его создание тратились деньги из бюджета США. Самая популярная в России CMS WordPress, на которой сделано большинство сайтов, тоже написана свободным кодом. Основана на открытом исходном коде и мобильная ОС Android, используемая в большинстве смартфонов. Это позволяет чуть ли не каждому производителю смартфонов создавать свою версию системы — MIUI, Color OS, Oxygen OS, Lineage OS, «Яндекс.Кит» и другие. Даже в Microsoft Windows есть функционал, реализованный с помощью открытого исходного кода.

Таким образом, сегодня Open Source не ограничивается только ОС: в сегмент входят специальное ПО, инженерное ПО, СУБД и многое другое. Распространяются эти решения под разными лицензиями, самая известная — GNU/Linux.

Плюсы Open Source:

• бесплатное распространение;
• кроссплатформенность (большинство программ выпускают под все виды Linux, macOS и Windows);
• частые обновления (чаще, чем у проприетарного ПО);
• разработчики сами пользуются своими продуктами и оперативно устраняют ошибки, если такие появляются;
• сообщество разработчиков большое и открытое, чаще всего конечному потребителю помогут с решением текущих задач на тематических форумах;
• большинство решений создается под Linux, переход на который значительно снижает риск заражения вирусами компьютеров или серверов компании.

Чем Open Source полезен бизнесу?

Во-первых, это дешевле: можно покупать компьютеры и ноутбуки без предустановленной ОС Windows и ставить на них любой Linux. Во-вторых, в составе ОС уже предустановлены самые распространенные программы: браузер Mozilla Firefox, офисный пакет LibreOffice (либо OpenOffice), видео- и аудиоплееры, редактор изображений GIMP (аналог Adobe Photoshop) и многие другие. В-третьих, при установке в большинстве случаев не придется искать драйверы на «железо»: все срабатывает «из коробки». Наконец, в-четвертых, Linux устроен так, что в нем невозможно случайно запустить какой-нибудь вирус: установка любой программы требует пароль администратора, который совсем необязательно сообщать каждому сотруднику.

Российские разработчики составляют довольно большой процент в среде Open Source, некоторые из которых принимают участие в развитии ядра Linux, среди них — «Базальт СПО» (разработчики ОС ALT Linux и Simply Linux, участники The Linux Foundation), Arenadata (разработка и поддержка систем управления базами данных СУБД), Lacmus (нейросеть для поиска пропавших людей, сотрудничает с «ЛизаАлерт»), Postgres Pro (СУБД) и др.

Ключевые риски

Если говорить о рисках, то чаще всего речь идет о так называемых бэкдорах, или закладках в коде, которые могут оставлять разработчики. По данным Angara Security, после 24 февраля 2022 года специалисты по кибербезопасности наблюдают Protestware — добавление в открытый код вредоносной функциональности, которая активируется только в российском киберпространстве. Специалисты компании обнаружили в пакете, который улучшает производительность и функциональность кода на JavaScript, свойство: определяя тайм-зону, в которой он работает, пакет выводил на экран политические лозунги. Кроме того, в одной из бесплатных библиотек еще в 2021 году была обнаружена уязвимость Log4Shell, которая позволяет подключаться к компьютеру пользователя и передавать конфиденциальную информацию (персональные данные, пароли и т. п.), это небезопасно в клиентских финтех-, банковских и e-commerce-приложениях. Наконец, есть еще атаки на цепочку поставок, когда бэкдор можно получить с обновлением: Angara Security утверждает, что практика атак через цепочки поставок только увеличивается. Так, в 2022 году число инцидентов со взломом через подрядчиков было около 20%, в первой половине 2023 года эта тактика фиксировалась уже в 30% случаев (более свежих данных пока нет). Попытки внести уязвимости в код со стороны внешних разработчиков подтверждает сооснователь и CTO Arenadata Александр Ермаков: «Такие вредоносные действия в 2022 году совершались достаточно активно, постепенно их стало меньше».

Решение CodeScoring компании Profiscope обнаружило около 200 зависимостей открытого кода в «серверных» проектах (Java, Python, С# и др.). Это означает, что при установке важного пакета или обновления придется анализировать все его зависимости, а это может быть несколько уровней глубины. «При разработке проекта IT-специалисты используют компонент опенсорс-кода (например, из GitHub; доверенный репозиторий для разработчиков со всего мира.— «Ъ») из какой-то доступной библиотеки, например проверка пароля. А эта библиотека использует еще одну библиотеку, которая напрямую в проекте не используется, но скачивается автоматически, потому что первый компонент зависит от нее. Поэтому разработчикам важно понимать не только какую библиотеку опенсорс-кода используют в проекте, но и библиотеки второго-третьего уровней зависимости»,— объясняет руководитель отдела анализа кода Angara Security Илья Поляков. Нужно понять, от каких библиотек зависит нужный компонент, и проверить, не содержатся ли уязвимости во всей цепочке, говорит он.

Второй часто обсуждаемый риск — вероятность отключения российских разработчиков от международного сообщества Open Source. Такой риск есть, но это может случиться скорее с нашей стороны, считает Алексей Смирнов. Александр Ермаков убежден, что в техническом смысле отрезать россиян от международных репозиториев невозможно: «Пока есть интернет, получить код труда не составит. Но политически можно, например, в рамках сообщества или проекта поменять лицензию, запретив, например, использование в России. Или запретив коммерческое использование». Второй вариант, по словам господина Ермакова,— закрытие сообщества для разработчика: каждого можно идентифицировать и каждому можно закрыть доступ. Но пока такого нет, хотя полностью эксперт такой риск не исключает.

Будущее Open Source в РФ и мире

Open Source уже сейчас развивается настолько активно, что обгоняет проприетарное ПО. По данным DB Rankings, в мире доля лицензий Open Source за 2023 год уже превысила долю лицензий закрытого ПО и будет расти дальше. В России с уходом западных вендоров фактически нет альтернативы Open Source. Вместе с тем оценить реальный финансовый потенциал крайне сложно: нет единой системы подсчета, нет общей базы.

По данным ИММР, объем глобального рынка Open Source ПО в 2022 году составил $25–28 млрд (данных отдельно по РФ нет, но есть прогноз двукратного увеличения объема к 2027 году). Если говорить отдельно по ОС, то есть данные от разработчиков о количестве проданных лицензий: по оценке «Базальт СПО», например, за 2023 год на рынке в целом продано 1,5 млн лицензий. Однако сколько их было установлено, в компании не уточняют.

Фонд «Центр стратегических разработок» в 2022–2023 годах проводил исследования рынка кибербезопасности, которые показали постепенное доминирование на рынке СУБД продуктов российских разработчиков (в 2022 году доля отечественного ПО составила 66%, в 2023-м — выросла еще на 15–18%). Однако оценок в денежном выражении аналитики не дают.

АНО ЦКИТ ежегодно проводит мониторинг о закупках ПО. По их данным за 2022 год, российских ОС было куплено на 464,21 млн руб. Но это обобщенные данные по закупкам в рамках ФЗ №223-ФЗ и №44-ФЗ, все остальное не учитывалось. Также не учитывались расходы на техподдержку и услуги по адаптации и модификации ПО. Лидером закупок стало отечественное ПО для автоматизации бизнес-процессов — его закупили в 2022 году на 6,9 млрд руб. Общие расходы на отечественное ПО на базе Open Source за 2022 год, по данным АНО ЦКИТ, составили 102,5 млрд руб. Результаты мониторинга за прошлый год не опубликованы.

Хорен Григорьян