СПО или ППО: где уязвимостей меньше?

13.11.2013

Оригинал:www.pcweek.ru

Автор статьи: Валерий Васильев

Софтверная часть в ИКТ-продуктах и решениях приобретает сегодня все большее значение, поскольку только с ее помощью можно гибко и оперативно реализовывать возможности, заложенные в сервисной модели предоставления и потребления ИКТ-ресурсов, которая с распространением виртуализации и облаков становится доминирующей.

Движимые в последние годы заботой о безопасности своих продуктов не меньше, чем их функциональностью, лидирующие ИКТ-вендоры все активнее внедряют у себя комплексные программы безопасной разработки ПО, подобные программе Microsoft Security Development Lifecycle, ставшей для Microsoft обязательной с 2004 г.

Параллельно с проприетарным ПО (ППО), ответственность за качество и сопровождение которого лежит на плечах его разработчика, на рынке существует и свободное (СПО) — его разработкой и поддержкой занимается добровольное сообщество сторонников такого ПО.

К попыткам сравнить информационную безопасность (ИБ) СПО и ППО программисты и пользователи обращаются настойчиво и регулярно. Так, жаркие дискуссии на эту тему разгорелись на круглом стола “Информационная безопасность экосистемы открытого ПО” в рамках апрельского форума Russian Open Source Summit ‘2013. Тогда в дискуссии приняли участие эксперты, представлявшие вендоров, разработчиков программных продуктов, искушенных в применении как СПО, так и ППО, корпоративных пользователей и регуляторов, занимающихся вопросами сертификации ПО обоих типов.

Конференция ZeroNights ‘2013, прошедшая в Москве в первой декаде ноября этого года, тоже предоставила свою площадку для сравнительно обсуждения информационной безопасности СПО и ППО. На этот раз организаторы предпочли формат ток-шоу, сведя в словесном поединке руководителя программы информационной безопасности из компании Microsoft Андрея Бешкова и представительное комьюнити апологетов СПО (в максимуме достигавшее на сцене численности в пять человек) во главе с генеральным директором компании РОСА Владимиром Рубановым.

Сразу сообщу, что “сражение” завершилось полной победой Андрея Бешкова — он был конструктивен, логичен, убедителен. Представители сообщества СПО пытались противопоставить ему задор, азарт и эмоции, которых, однако, оказалось недостаточно, чтобы склонить в свою пользу зал и рефери на “ринге”.

Апологеты СПО и в этот раз были нерациональны в своей оценке деятельности софтверных компаний, сосредоточенных на разработке и продвижении ППО. Можно ли обвинять, например, Microsoft в том, что в свое время ее создатели потратили усилия на разработку ОС массового применения, добившись в результате доминирования в этом сегменте (а потом и не только в этом)? Кто мешал и мешает сообществу СПО занять то место, которое ныне занимают такие компании, как SAP, Oracle, CA? Сообщество пользователей будет, как мне представляется, только признательно, если бесплатно получит программные продукты и поддержку того же качества, какое сегодня получает от этих вендоров, выплачивая им немалые деньги.

Для потребителя не имеет никакого значения, на базе каких заготовок разработана та программа, которая вертится внутри его компьютера или иного устройства. Но свои требования к ИБ этой программы он обязательно предъявит, и требования эти зависят от того, к какому пользовательскому сегменту он относится — к индивидуальным или корпоративным пользователям, к сегменту массового потребления или к специальным, режимным структурам.

Кстати, любая компания-разработчик, которая на базе СПО создает продукт и начинает продвигать его по рыночным правилам, действует так же, как упомянутые выше софтверные гиганты: она берет на себя бремя обновления версий, исправления ошибок, сертификационных аттестаций (если нужно) и требует за это вознаграждения от пользователей. Возможно, старт у таких разработок получается менее затратным и быстрым, поскольку начинаются они не с чистого листа, а с неких СПО-наработок. Зато потом всё у них идет “по-взрослому” — по законам коммерции.

Поклон тем энтузиастам-альтруистам от программирования, которые тратят свое время и интеллект на создание и распространение бесплатных программ. Но это — совершенно иная софтверная ниша, работающая в основном на индивидуального потребителя. Как только какая-нибудь СПО-наработка втягивается в сферу корпоративного потребления, у нее появляется пользователь, который требует от разработчика ответственности за ее качество, включая ИБ, на коммерческой основе. Возможно, это будет внутренний разработчик, но и он не избежит такой ответственности.

От обсуждения концептуальной информационной безопасности СПО и ППО, мне кажется, нужно отказаться, а сосредоточиться на сравнении ИБ конкретных программных продуктов, четко разделяя при этом их назначение: индивидуальные пользователи, массовый или корпоративный рынок, режимные структуры — и не забывать при этом, что требования к ИБ у пользователей этих сегментов разное.

Сторонники СПО в контексте сравнительного обсуждения безопасности СПО и ППО нередко поднимают тему национальной безопасности, зависимости страны от зарубежных разработок. Тема правильная, но чтобы ее закрыть, недостаточно разработать национальную BIOS или операционную систему на базе СПО. Впрочем, хоть с чего-то начинать нужно…