Open source
в опенсорс всегда найдется решение, вот например, если тебя нету в /dev звуковой карты, тогда сам пой песни!
Open source (рус. программное обеспечение с открытым исходным кодом ) — особо драматичная разновидность софта. В зависимости от степени красноглазия и осведомленности автора, а также темы разговора, может означать несколько разные вещи:
- Собственно, софт с открытыми исходниками (открытое ПО). В особо специфичных случаях к свободе их использования может не иметь вообще никакого отношения — см. например мелкомягкую лицензию Ms-RSL (можно смотреть на код, но упаси вас Столлман изменять, где-то использовать или даже просто распространять его). Хотя даже сама МС её именно опенсорцом не называет, но упоротые и немного заблуждающиеся встречаются.
- Софт, распространяющийся под свободными лицензиями. Он же FOSS — free and open source software, где free «as in free speech, not as in free beer» (свободное, а не бесплатное, другими словами). Свободность или несвободность в данном случае четко определяется требованиями Free Software Foundation, объявляющих четыре свободы бородатого (запускать, изучать, изменять, распространять).
- Открытую модель разработки (обычно софта, но не обязательно). Кодинг «всем миром», где коммьюнити принимает непосредственное участие.
История вопроса
Начало
История создания феномена уходит своими корнями в глубокую древность. Когда компьютеры были размером с небольшой дом, разработка программного обеспечения велась в основном в ВУЗах и НИИ по заказу правительства и крупных фирм.
Что такое Open source проекты, в чем приемущества программ с открытым исходным кодом
Копирастические нравы были свободные, поделия программистов за редкими исключениями ходили из рук в руки и из НИИ в НИИ, все были довольны, никто не жаловался. Ещё Дональд Кнут задолго до всяких Столлманов раздавал свой винрарный TeX направо и налево. Особенно это было распространено в так называемой хакерской культуре, из которой и вышло большинство американских лидеров FOSS и просто великих людей в истории IT. Хакер тогда и там — это не то, что здесь или сейчас, а что-то вроде дотошного изобретательного ботана (в хорошем смысле, а не заучки).
Но в 1976-м появился Билл Гейтс со своим гневным письмом. Суть: БГ, будучи задротом, свято верил, что его увлечение обязательно сделает его великим (да, так и вышло, но сейчас не об этом). Будучи к тому же американцем он считал, что чтобы стать великим, нужно заработать много бабла, поэтому стремился сделать своё увлечение бизнесом (нет, тогда ещё не очень серьёзным).
Как раз тогда зарождался рынок персоналок, поначалу унаследовавший культуру и нравы хакерской среды. Билли, почуяв гешефт, организовал с приятелем мааленькую фирмочку для разработки мелкого софта для микрокомпьютера (персоналками их стали называть только в 80-е с подачи IBM) Altair. Фирмочку так и назвали — Micro-soft.
Наняв в довесок ещё одного куна и пропыхтев втроём год за клавами, они написали интерпретатор Бейсика, который Билли привез показывать на слёт юных хакеров. Однако хакеры, будучи хакерами, посчитали что Билли всё это делал для собственного удовольствия, а деньги ему не нужны, и, купив несколько копий, растиражировали их между собой.
Испытав баттхёрт, Билли написал то самое письмо, а купленные IBM судьи объявили софт объектом авторского права. Хакерам это не понравилось, и группа программистов с хипповским уклоном решила запиливать программки и раздавать их на халяву друг другу для дальнейшего допиливания, посрав на копирайты. Главным идеологом этого безобразия стал Столлман (aka RMS). Собственно он и выделил это сообщество, превратил его в Free Software Movement (Движение Свободного ПО) и создал его идеологию со знаменитыми 4-мя свободами.
GNU
В 83-м был запущен проект GNU, целью которого было создать Свободную Операционную Систему, и в рамках которого до появления Линукса успели написать практически все компоненты рабочей UNIX-подобной системы, кроме собственно ядра. В 85-м был создан Free Sofware Foundation, который фактически является юридическим лицом Free Software Movement и Столлмана лично, поэтому слова FSF и RMS иногда используются как взаимозаменяемые.
В 89-м, была создана первая версия GPL — юридического документа, воплотившего идею copyleft, суть которой в том, что авторские права используются чтобы исключить возможность реализации прав собственности на ПО. GPL — это лицензия, договор между пользователем и распространителем софта. Их бывает много. Microsoft, например, использует всякие EULA (да-да, это тот самый документ, который тебя зачем-то просят прочитать при установке пиратской венды). Но для СПО наиболее распространена GPL.
Нажмите для проигрывания
Эмоционально-драматический аспект абзаца.
Проект GNU двигался хоть и весело, однако решительного влияния на мир, какого бы хотел RMS, не оказывал, да и не особо кому-либо был нужен. А всё потому, что не было у них внучки ядра.
HURD, разрабатываемое в рамках GNU ядро Свободной Операционной Системы и заодно проект по его написанию, весьма скоро превратился в классический долгострой a-la коммунизм, в котором ни финала, ни даже существенного прогресса не видно. Внезапно, в 91-м некий финский швед (или шведский финн. ) по имени Линус Торвальдс (или просто Linus) решил написать свою собственную UNIX-подобную операционную систему (мотивы луркайте сами), причём начал именно с ядра, ибо так интересней, будучи на тот момент нищебродом писал для 80386.
Делать это тихо и в одиночку он не стал, а, пользуясь другой интересной новинкой того времени — интернетом, поделился идеей с другими такими же, как он, энтузиастами. Проект быстро собрал вокруг себя достаточно мозговитого народа для его успешного развития, а Линус оказался удачным лидером нового движения и феномена. Не сразу, но довольно рано в проекте были задействованы наработки GNU и FSF: возможность допиливания ядра кем угодно была узаконена с помощью лицензии GPL, а слияние ядра с уже написанными приложениями и компонентами GNU дало миру первую полноценную свободную операционную систему — GNU/Linux. кхмхмBSDкхм Ну то есть свободную в столлмановском понимании.
Некоторым программистам, среди которых были Линус Торвальдс и Эрик Реймонд, в целом нравился способ разработки свободного софта, но не нравился некий душок коммунизма с хиппи, и они решили назваться по-другому. Алсо, с таким ребрендингом стало легче заинтересовать представителей бизнеса, поскольку free в английском языке, имеет второе значение «бесплатное». Предложение зарабатывать на бесплатном ПО часто вызывало недоумение у тех, кто был не в теме, да и эта ваша юзерская свобода бизнес обычно немного настораживает. Желающие могут посмотреть фильм Revolution OS, там этот момент раскрывается. В результате и появился термин open source — в принципе та же фигня, что не мешает Столлману и Торвальдсу яростно боксировать по переписке.
Крупнейшим винраром опенсорсников стал Линукс, который был многочисленно перепилен разными крупными конторами и установлен в чуть более чем половину рунетовских серверов. Вторым после Линукса идет семейство BSDей, в основном FreeBSD — еще более старый, еще более серверный и неюзабельный для секретарш. Установлен на вторую половину серверов рунета. Частично (TCP/IP стек винды, userland-утилиты макоси) или полностью (JunOS) перепиливается конторами для коммерческого использования, причем в силу пофигистской лицензии распространяемый код может быть закрыт, что дает повод для холиворов между самими красноглазиками (см. ниже).
Многое из современного мало-мальски юзабельного open source изначально представляло собой коммерческие программные продукты. Однако, со временем, ввиду эпического фейла по продаже и распространению, все это было выброшено создателями на мороз, а затем подобрано финскими студентами и раскручено как сабж. В качестве наиболее ярких примеров можно назвать: OpenSolaris, QNX, Firefox (в девичестве Netscape Navigator), Mozilla Thunderbird (Netscape Messenger), OpenOffice/LibreOffice (StarOffice). Кстати, данный факт здорово характеризует сабж, как потенциально неспособный самостоятельно родить что-нибудь эпическое.
Драма
Все что касается СПО, обладает повышенной драматичностью и непременно приводит к обилию еды. Опенсорсники клеймят жадных капиталистов за то что их крутое (по сравнению с опенсорным) ПО не раздается на халяву не поддерживает старые железки и шпионит за юзером. Неопенсорсники называют опенсорсников нищебродами и считают, что последним уготована печальная роль Админов — администрировать серверный линукс и жрать межпальцевых насекомых, по канонам папаши Столлмана. Сами опенсорцники срутся между собой, выясняя, какая лицензия истинно свободна — BSD/MIT/Apache, в отличие от GPL, не являются копилефтными (являются менее «принуждающими к свободе»).
Еще более веселой ситуация становится, когда в нее подключаются политики. Надо сказать, последние порой начинают агитировать за СПО, а китайцы даже запилили себе расово верный Линукс и насадили его во все свои госучреждения. В этой стране, кстати, тоже потихоньку идут по китайским стопам, правда, в силу объективных причин, борьба за СПО идет вяло.
Другим забавным фактом является то, что за СПО с недавних пор радеет сам Алкснис, особенно после того, как его нотариально заверенные скриншоты не взлетели. Видимо, из обиды он решил, что тогда и все остальные скриншоты должно быть юридически бесполезными. По другой версии, ему просто стало нечего делать, после того как его выперли из Думы.
Особую разновидность Драмы рождает факт копипиздинга кода под GPL (чаще всего ядра Линукс) для использования в коммерческих проектах. Ищё бы, нахрен платить туеву хучу бабла десятку бородатых системных программистов, когда тут всё готовенькое. Но опенсорсники тоже не лыком шиты и годами судятся с наглыми копирастами, требуя исходников прошивок, программ и вообще. Особый смак этом делу придает многолетнее использование программы с пизженным кодом.
Холиворы
- Опенсорс vs. Несвободное ПО. Самый канонiчный.
- Опенсорс vs. Бесплатное ПО (freeware). Всякие бесплатные программы (Опера например) с закрытыми исходниками настоящими адептами СПО признаются некошерными и негодными к употреблению.
- Опенсорс vs. Свободное ПО. По мнению луноликого Ричарда Столлмана, разрекламированность «open source» несколько вредит свободному ПО, так как некоторые разработчики и пользователи открытого ПО совсем не против собственнического ПО, и люди останавливаются на open source, не доходя до понятий о свободе.
- Опенсорс vs. Опенсорс. Казалось бы, ан нет.
- Война лицензий. Наиболее частый случай — GPL vs BSD. Код под второй можно невозбранно закрыть, под первой нет — в результате имеем споры, какая же лицензия истинно свободна.
- Война дистрибутивов.Slackware vs. Ubuntu а-ля Тру vs. Ньюфаг.
- Война гуёв.Гномосеки vs. Кедерасты.
- Война программ. Тысячи их.
- Консоль vs. GUI а-ля Олдфаг vs. Ньюфаг. Большинство пользуется и тем и другим и не понимает в чём суть проблемы.
См. также
| Мета | DRM (SecuROM • StarForce) • Баг • Бот (Автоответчик) • Ботнет • Варез • Глюк • Гуй • Донат • Копирайт (By design) • Лог • Нюк • Рут (Не работай под рутом) • Спортивное программирование • Мегапиксель |
| Фичи | 12309 • BSOD • Cookies • Embrace, extend and extinguish • FL Studio • Sheep.exe • Winlogon.exe • Бубен • Защита от дурака • Костыль • Машинный перевод • Пасхальные яйца • Свистелки и перделки • См. рис. 1 • Съешь ещё этих мягких французских булок • Termux |
| Вредоносное | Винлок • Звонилка • Китайские пингвины • Пиксель смерти • Троян • Червь Морриса • BonziBuddy • MediaGet |
| Компании | 1С • Apple • Google • Microsoft • SAP • Яндекс |
| Движения | 8-bit • Open source (Красноглазики • Линуксоиды) • Вирусная сцена • Даунгрейд • Демосцена • Моддинг |
| Офис | 3DS MAX • GIMP • GNU Emacs • Movie Maker • MS Paint • OpenOffice • PowerPoint • vi • Word • Блокнот • Фотошоп |
| ОС | Android • BSD • DOS • MenuetOS • ReactOS • Windows (Phone 7 • Phone 8 • 7 • 8 • Vista) / Маздай • Линукс • Русская ОС • Фантом ОС |
| Браузеры | Internet Explorer • Опера • Тормозилла (Огнелис • Lolifox) • Хром |
| Интернет | Flash • I2P • Low Orbit Ion Cannon • Tor • Tunatic • Чат−клиенты (Miranda • QIP • Skype • Аська • Жаббер) |
| Разработка | BrainFuck • C • C++ • C# • Java • Haskell • Ассемблер • Chaos Constructions |
| Люди | LovinGOD • Балмер • Гейтс • Генерал Фейлор • Джобс • Митник • Поттеринг • де Раадт • Спольски • Столлман • Торвальдс • Шахиджанян • Ache666 |
| Костыли | Cygwin • PunkBuster • T9 • Wine • Wishmaster • Антивирусы • Хакинтош • Сборки Windows • Denuvo |
| Команды | ^H • ^W • Alt+F4 • Ctrl+Alt+Del • man • /me • /quit • rm -rf |
Источник: neolurk.org
sclinede/awesome-oss-ru
This commit does not belong to any branch on this repository, and may belong to a fork outside of the repository.
Switch branches/tags
Branches Tags
Could not load branches
Nothing to show
Could not load tags
Nothing to show
Name already in use
A tag already exists with the provided branch name. Many Git commands accept both tag and branch names, so creating this branch may cause unexpected behavior. Are you sure you want to create this branch?
Cancel Create
- Local
- Codespaces
HTTPS GitHub CLI
Use Git or checkout with SVN using the web URL.
Work fast with our official CLI. Learn more.
Sign In Required
Please sign in to use Codespaces.
Launching GitHub Desktop
If nothing happens, download GitHub Desktop and try again.
Launching GitHub Desktop
If nothing happens, download GitHub Desktop and try again.
Launching Xcode
If nothing happens, download Xcode and try again.
Launching Visual Studio Code
Your codespace will open once ready.
There was a problem preparing your codespace, please try again.
Latest commit
Git stats
Files
Failed to load latest commit information.
Latest commit message
Commit time
README.md
Краткий гид по open-source движению или «как вкусно готовить open-source»
- Кому это нужно?
- Что такое open-source движение?
- Что делают участники движения?
- Зачем становиться участником open-source движения?
- Альтернатива есть?
- Можно ли делать open-source и получать за это деньги?
- Как бороться с выгоранием?
Документ составлен для тех, кто уже участвует в OSS-движении или только планирует первые шаги.
Цель — собрать рекомендации о том, зачем быть участником движения и как это делать в комфортных (для себя) условиях.
Что такое open-source движение?
Грубое определение — это подход к созданию продуктов (в т.ч. ПО, но не только) при котором доступным для использования становится не только результат, но и процесс его создания. Для распределения прав и возможностей всех участников процесса используют open-source лицензии.
(Подробнее о лицензиях смотри чем отличается Free Software Movement от Open-Source Software Movement)
Что делают участники движения?
Open-source software — программы, исходниками которых решили свободно поделиться их создатели. Однако, «создатель» — далеко не единственная роль в OSS-комьюнити
В последнее время качество open-source продуктов настолько выросло, что разработка стала включать в себя несколько этапов работы над составными частями продукта (документация, тесты, инструменты для установки, контроль версий). Все они нуждаются во внимании разработчика.
Поэтому, современные open-source проекты редко ограничиваются одним контрибьютором. Помощь может потребоваться на любом из этапов и оформляется в виде задач (Issue) на GitHub / GitLab / BitBucket. Задачи содержат ошибки или пожелания к доработке любой части программы.
Участники проекта могут:
- писать код программы
- исправлять ошибки
- добавлять/править тесты
- упрощать установку ПО
- уменьшать размер программы
- писать новую документацию или исправлять текущую (вплоть до исправления опечаток)
Любой «уход» за проектом — это вклад в open-source движение.
Зачем становиться участником open-source движения?
Поиск оптимального решения
Основная сложность в деятельности разработчика — поиск оптимального технического решения прикладной задачи. К сожалению, без достаточного колличества проб и ошибок ты не знаешь, на сколько оно оптимально. Open-source — это способ собрать фидбек об использовании, качестве кода и других свойствах твоей программы.
Когда представляешь код публично, ты можешь обмениваться знаниями с другим участниками движения, в том числе с более опытными коллегами.
Публичный подход к разработке стимулирует и «внутреннего перфекциониста» писать на максимально высоком уровне.
Отдельно отмечу ценность опыта создания open-source проекта на основе закрытых приложений. Это тренирует изобретательность и открывает новые направления для развития.
Публично подтвержденный, переносимый опыт
Когда переходишь между проектами есть риск потерять собственные наработки, нажитые годами.
При open-source подходе ты сохранишь наработки и сможешь показать их как примеры своего кода, причем не абстрактные, а полноценно работающие. У исходного кода нет границ — используй его на родине и за рубежом.
Создавая open-source проект ты можешь прокачать коммуникативные навыки, ты будешь сотрудничать с коллегами из разных точек мира, которые обладают разными взглядами.
Возможно, на профессиональной почве, ты захочешь завести новых друзей и знакомых, не важно, где живут твои новые приятели — просто дерзай 🙂 С ними ты всегда можешь проконсультироваться.
Новые горизонты на рабочем фронте придают сил и создают потенциал для развития. Но, у этого пункта есть другая сторона — постоянный поток новых задач и неосвоенных знаний часто приводят к выгоранию.
Рецепт от этого — выбор правильного темпа работы.
В российских компаниях, open-source редко оплачивается напрямую и важно понимать как сочетать ее с работой, за которую ты получаешь деньги.
Важный аспект open-source разработки — добровольность вложений труда. Как участник, ты в любой момент можешь отказаться продолжать работу.
Это также означает, что нет смысла вступать в ряды просто потому, что «модно» или «так делает твой друг». Если у тебя нет желания быть участником движения — не нужно. Возможно, твой интерес лежит в другой плоскости, это нормально.
Чтобы делиться опытом или иметь публично подтвержденные навыки ты можешь использовать и другие подходы: начни вести технический блог или устраивать сессии live-coding’а для решения технических задач, публикуй статьи на форумах/в соцсетях.
- https://dev.to – площадка для обмена опытом и знаниями для разработчиков
- awesome-livecoding
- Lessons from my first year of live coding on Twitch
Можно ли делать open-source и получать за это деньги?
OSS в контексте коммерческой разработки
Некоторые компании предлагают создавать OSS в процессе работы над коммерческими проектами. В других подобной практики нет, однако, это не значит, что нельзя внедрить подход.
Организуй встречу с руководством и группой заинтересованных, и расскажи коллегам о преимуществах нововведения.
К ним относятся:
- Популяризация бренда. Бонус для маректинга
- Повышенный интерес со стороны опытных разработчиков, поддерживающих open-source движение. Плюшка для работы по найму
- Независимая оценка качества. Повышает доверие к компании со стороны заказчиков, т.к. open-source проекты показывают уровень инженеров в команде.
- 6 reasons open source is good for business
- Why Open Source от Google
Коммерческое обеспечение open-source библиотек
Несколько известных open-source библиотек в итоге вышли на прибыль или самообеспечение.
Однако, по отношению к общему количеству проектов этот процент очень маленький (меньше процента). Так что не стоит рассматривать возможность заработать денег на open-source разработке в качестве основной мотивации.
- Sidekiq Pro
- GraphQL Pro* (читайте также статью Роберто Мосолго, в которой он объясняет причины появления Pro версии)
- React on Rails Pro
Если ты «уже в теме», но чувствуешь что выгораешь и теряешь интерес к open-source разработке
Обсуждения среди коллег по цеху показали, что самые популярные причина усталости и выгорания среди open-source разработчиков — нарушение режима труда/отдыха и отсутствие баланса между вложением сил и отдачей.
Когда не хватает эмоциональной поддержки — ищи контакт с пользователями проекта. Сделай опросник и собери отклик с его помощью или запроси donations на кофе или пиво.
Когда появляется желание все бросить — вспомни, что в open-source среде ты никому ничем не обязан и свободен оставить работу в любой момент.
Как вариант — попробуй расставить жизненные приоритеты. Сделай это таким образом, чтобы open-source отвечал потребностям. Это может быть:
- Сохранение наработок на будущее (для собственного использования)
- Создание proof-of-concept нового решения
- Сборка «говорящего» портфолио
Когда определишь, чем open-source движение поможет тебе в жизни, распределить приоритеты (а значит и затраты ресурсов) будет гораздо легче.
А иногда нам всем просто нужен отпуск 🙂
Документ составлен в процессе подготовки к конференции RubyRussia 2018 и сам является open-source проектом. Если тебе кажется, что какая-то важная тема об open-source разработке не раскрыта или раскрыта недостаточно — Welcome to Issues and Pull Requests section 🙂
Создан и отредактирован:
Источник: github.com
Open source программы для большого бизнеса. Часть 1
Предисловие. В современном информационном обществе практически ни одно предприятие не может обойтись без автоматизации и компьютеризации своей деятельности. Но в условиях экономического кризиса далеко не все предприятия могут позволить себе приобрести довольно дорогие программные продукты известных компаний для автоматизации ведения бизнеса. Альтернативой им становятся open source разработки.
Известные open source компании, такие как Red Hat, Novell, Alfresco и SugarCRM, уже доказали потребителям, что их программные продукты давным-давно прошли стадию тестирования и адаптации и сейчас являются готовыми решениями для бизнеса, а их сотрудники предоставляют квалифицированную техническую поддержку. Начинаем цикл статей о открытом программном обеспечении для бизнеса.
Cloudera. Первой компанией, о которой хотелось бы поведать, является Cloudera. Ее руководитель — Майк Олсон (Mike Olson), автор небезызвестного проекта Sleepy Cat, который еще в 2006 году был выкуплен компанией Oracle. Мистер Олсон утверждает, что пользователи персональных компьютеров за последние годы стали куда более рациональными и часто выбирают именно open source программное обеспечение. В своем время Sleepy Cat создавался исключительно как небольшой свободный проект, в то время как Cloudera является солидной компанией, продукция которой нацелена на корпоративный сектор, хотя и является открытой.
Последней разработкой компании Cloudera является open source Apache-основанный проект, получивший название Hadoop. Данный программный продукт является эффективным решением для хранения и управления большими объемами данных. Самым большим поклонником Hadoop является компания Yahoo, так же данную программу частично используют Facebook и Google. Cloudera не считает вышеупомянутое «трио» своими клиентами, но все же гордится тем, что ее продукция понравилась гигантам IT-рынка. To be continued.
Источник: www.oszone.net
Подводные камни open source при создании отечественных средств защиты
Давайте не будем лукавить и честно признаемся — свежие российские решения по ИБ (исключая СЗИ от НСД, СКЗИ и других “старичков”) активно используют open source компоненты в своем составе. Этого нечего стыдиться — это нормальная практика, задействовать уже написанный кем-то и распространяемый под разными лицензиями (GPL, ) код.
Согласно отчету Black Duck Open Source Security and Risk Analysis (OSSRA) за 2017-й год 96% проанализированных авторами отчета приложений используют open source. Прошли те времена, когда сложные приложениям (да и не очень сложные тоже) целиком создавались одной командной с нуля. В условиях нехватки времени и компетенций, многие используют уже кем-то написанный код. И наша отрасль не является исключением.
По данным отчета OSSRA сфера кибербезопасности находится на 3-м месте по проценту использования открытого ПО (после здравоохранения и ритейла с электронной коммерцией). А вообще согласно OSSRA 96% приложений задействует open source компоненты, число которых может достигать 147 штук на одно приложение.
Учитывая стратегию на импортозамещение в России, тема контроля применения open source в российских средствах защиты информации становится как никогда актуальной. Особенно в контексте последних нормативных изменений. Например, недавний приказ ФСТЭК №55 по новым правилам сертификации. Есть там такой пассаж, который применяется в тех случаях, когда продукт, подаваемый на сертификацию, содержит компоненты не только одного разработчика, но и других компаний или команд. Да, к open source этот фрагмент тоже имеет отношение.
Соответственно, при использовании open source, заявитель должен прикладывать к продукту текст лицензии (GPL, BSD и других), которые и считаются договорами. Интересно, что согласно OSSRA 85% приложений содержат компоненты open source в нарушение существующих лицензий, а 53% и вовсе не упоминают об использовании open source, нарушая права авторов на создание, модификацию и распространение своего ПО. Например, у Континент СОВ явного упоминания использования open source нет — кроме единственной новости 2013-го года про использования Snort и завуалированной новости про устранение уязвимости в движках Snort и Suricata. А вот у Инфотекса есть отдельный документ про использование open source, который прилагается к VipNet IDS. И тут возникает
Вопрос №1. Должна ли ФСТЭК требовать соблюдения лицензий GPL и др. от заявителей?
Второй вопрос достаточно очевиден и я про него уже не раз писал. Речь идет об уязвимостях в open source и иных компонентах третьих фирм. Согласно требованиям ФСТЭК именно заявитель отвечает за устранение уязвимостей в своем продукте, независимо от того, в каком компоненте (своем или чужом) эта уязвимость найдена. Согласно OSSRA среднее число уязвимостей в open source компоненте составляет 27, а известные open source уязвимости (OpenSSL, Apache, zlib, libxml2, libpng, ядро Linux и др.) найдены в 67% приложений. Вспоминая историю с некоторыми сертифицированными форками, авторы которых прямо признавались, что они не способны устранить уязвимость, пока ее не устранит сообщество, поддерживающее компонент open source, возникает логичный:
Вопрос 2. Что делать потребителю, если ФСТЭК отзывает/приостанавливает сертификат на средство защиты при отказе/невозможности заявителя устранять уязвимость в open source компоненте?
Ну и, наконец, еще один момент, который «всплыл» после прочтения проектов приказов ФСБ по ГосСОПКЕ. В приказе по техсредствам ГосСОПКИ есть раздел с требованиями по «доверию» (по аналогии со схожими требованиями ФСТЭК), в котором написано, что должно выполняться применительно к техсредствам ГосСОПКИ:
Меня в этой пятерке требований интересует 3-й и 4-й пункт, которые, если транслировать их на open source, вызывают вопросы. Возьмем к примеру Snort или Suricata, в числе активных контрибуторов или разработчиков которого, российских ИБ-вендоров не наблюдается. Кто занимается модернизацией этих движков, на которых построены некоторые «отечественные IDS»?
Российский вендор или все-таки сообщество, которое находится преимущественно зарубежом и обычно работает в иностранных организациях? Что-то мне подсказывает, что второе. Но тогда получается, что это приводит к невозможности выполнения третьего пункта в перечне на слайде? А покупка сигнатур атак у той же Emerging Threats — это ведь гарантийная поддержка (4-й пункт слайда)? Кстати, наличие управляющей компании в Лондоне тоже ведь нарушает данные требования ФСБ (правда, это уже не про open source). Отсюда
Вопрос №3. ФСБ сознательно закрывает доступ open source в ГосСОПКА или с этой стороны о проблемах никто не думал?
В качестве заключения мне бы хотелось привести список рекомендаций к вендорам, потребителям и регуляторам, относительно применения open source в отечественных решениях (в большей степени для них, хотя и для «иностранцев» это тоже важно):
ЗЫ. Тем, кто утверждает, что на open source не распространяются геополитические риски и санкции, впору вспомнить историю с запретом Asterisk в Иране и кейс с блокированием доступа к Sourceforge пользователям Судана, Сирии, Кубы, Ирана и Северной Кореи.
Мир сходит с ума, но еще не поздно все исправить. Подпишись на канал SecLabnews и внеси свой вклад в предотвращение киберапокалипсиса!
Источник: www.securitylab.ru