31.03.2022

Софт с сюрпризом

Интернет-портал rspectr.com, март, 2022
Экспертный комментарий Сергея Груздева, генерального директора компании и Сергея Шалимова, руководителя направления по работе с технологическими партнёрами "Аладдин Р.Д."

Так ли опасен открытый исходный код и что сейчас с ним делать

На фоне массированных кибератак и ухода иностранных вендоров IT-специалисты всё чаще сталкиваются с рисками использования свободного ПО (Open Source). Часто в бесплатном элементе скрывается специально заложенная уязвимость, которая создаёт серьёзные угрозы. Готовы ли российские разработчики при необходимости полностью заменить компоненты с открытым кодом и нужен ли переход от "наложенных" средств защиты к встроенным – в материале RSpectr.

Там что-то шевелится

"Техдирский клуб" опубликовал перечень проектов с открытым кодом, содержащих вредоносные компоненты, написал в своем блоге на "Хабре" основатель объединения Дмитрий Симонов.

"В связи с появившимися случаями встраивания политических лозунгов, а теперь и Malware (вредоносное ПО. – Прим. RSpectr.) и шифровальщиков в Open Source, которые несут реальные риски, мы начинаем вести список опасных для использования продуктов", – говорится в преамбуле каталога.

Согласно данным исследования Accenture и Фонда "Сколково", софт с открытым кодом в 2026 году будут применять более 90% российских компаний. В 2021-м этот показатель составил 79 процентов.

В открытые сообщества запросто можно внедрить киберзакладки, за последний месяц риски использования свободного кода резко усилились, рассказал RSpectr управляющий директор, председатель совета директоров компании "Диасофт" Александр Глазков.

Александр Глазков, "Диасофт":

– Сейчас это острейшая проблема. Мы и раньше говорили: общее – это не российское. Конечно, можно установить цикл безопасной разработки, проверять на сюрпризы, но они всё равно будут просачиваться.

Если компания не разбирается в используемом софте, не способна его развивать и исправлять – это создаёт проблемы для всех, подчёркнул А.Глазков на пресс-конференции НП "РУССОФТ".

По его мнению, это вызов для отечественных разработчиков – взять ответственность за подобную задачу внутри страны. Пока же можно только наблюдать, как развивается open source сообщество, но скачивать что-то сейчас не рекомендуется.

Компания "Диасофт" такого уже не делает.

Александр Глазков, "Диасофт":

– Мы будем брать отдельные кусочки ПО и смотреть, куда движется тренд. Проверить закладки в достаточной степени и гарантировать неуязвимость пока не можем. В течение какого-то времени будем придерживаться именно такой стратегии.

В случае необходимости компоненты с открытым кодом нужно быть готовым заменить, поддержал А. Глазкова основатель, директор по разработке и развитию продуктов "МойОфис" Дмитрий Комиссаров.

Дмитрий Комиссаров, "МойОфис":

– Если два года не обновлять Windows и потом подключить компьютер к интернету, то он будет заражён мгновенно, это проверено. К сожалению, если вы не получаете обновления, то тот софт, который используется, становится "тыквой", и это очень большая проблема.

По его словам, сейчас происходят "совершенно фантастические события" – не просто массовый отзыв лицензий, а внедрение вредоносных программ "в гигантском количестве". Комиссаров подчёркивает, что использование свободного по возможно только при наличии компаний или устойчивых коллективов, которые способны его поддерживать.

Дмитрий Комиссаров, "МойОфис":

– У нашего конкурента LibreOffice, который распространяет офисный пакет с открытым исходным кодом, есть компания, состоящая из одного выпускника лесотехнического техникума. Он говорит, что сам написал 40 млн строк и поддерживает их. Наверное, это неправильный пример.

Правильный, по его мнению, пример – когда у организации есть разработчики, экспертиза, а также контрибьюторы. Такой подход демонстрирует вендор системного ПО Астра Linux.

Не бояться и защищаться

ГК "Астра" не видит "критических" проблем со свободным ПО и продолжит взаимодействие с Open Source, заявил глава группы Илья Сивцев на пресс-конференции.

Илья Сивцев, ГК "Астра":

– Мы имеем в России свою сборочную систему, репозиторий и практически весь код проверяем достаточно досконально. Поэтому те продукты, которые затрагивают средства защиты информации, полностью нами контролируются. Продолжать взаимодействовать с открытым сообществом мы будем.

Не собирается отказываться от свободных решений и разработчик "Ред Софт", отметил заместитель гендиректора компании Рустам Рустамов.

Рустам Рустамов, "Ред Софт":

– Мы считаем, что важно работать с сообществом свободного программного обеспечения, вносить в него больший вклад и повышать компетенции в этой части. Мы будем делать ставку на Open Source и наращивать своё участие в нём.

Несмотря на потрясения, все участники рынка вынуждены в той или иной мере продолжать пользоваться заимствованиями, полагает гендиректор "Алладин Р.Д." Сергей Груздев.

Сергей Груздев, "Алладин Р.Д.":

– Здесь важна задача анализа софта на уязвимость и написание правильного, чистого кода. Для этого должны быть внедрены процедуры разработки безопасного ПО – сканеры, тестирование и прочее.

"Аладдин Р.Д." производит средства защиты и руководствуемся ГОСТ-Р 56939-2016 "Разработка безопасного программного обеспечения", рассказал в беседе с RSpectr руководитель направления по работе с технологическими партнёрами компании Сергей Шалимов. "Аладдин Р.Д." может заменить компоненты из Open Source на полностью отечественные, уверен он.

Сергей Шалимов, "Аладдин Р.Д.":

– Мы полностью вычищаем потенциальные закладки. Более того, в РФ этот процесс уже довольно давно выстроен и ждать "троянских коней" в коде отечественных софтверных организаций не стоит.

Наложенные средства не могут гарантировать достаточный уровень защиты, отметил он и подчеркнул, что только комплексный и системный подход от безопасного проектирования, проработки архитектуры до поддержки и обновления специалистами с профильным образованием по информбезопасности (ИБ), позволит уверенно говорить о надёжной отечественной продукции.

Напомним, что одним из стратегических направлений развития замглавы Минцифры Максим Паршин назвал Open Source (OS).

При необходимости российские IT-компании смогут заменить используемые компоненты с открытым кодом, пояснил RSpectr директор Центра Solar appScreener компании "Ростелеком-Солар" Даниил Чернов. Но если речь идёт об элементах интерфейса, например, то проблему не решить архитектурными изменениями и придётся переписывать ПО, чтобы уйти от использования Open Source, отметил эксперт. По его словам, развитие встроенных механизмов безопасности приложений – очень важный тренд в условиях повышенных ИБ-рисков. Но это не отменяет необходимости применения наложенных средств.

Даниил Чернов, "Ростелеком-Солар":

– Например, веб-сайт с точки зрения архитектуры может не содержать уязвимостей и ему в меньшей степени понадобится фаервол веб-приложений (Web Application Firewall, WAF). Но если в нём имеются бреши и работает он на уязвимом Open Source ядре, тогда без внешней защиты не обойтись.

Директор по развитию продуктов ROBIN Иван Мельников уверен, что полная замена свободного ПО сейчас невозможна, так как у многого нет существующих аналогов. ROBIN использует подобные элементы для разработки своих продуктов, рассказал он RSpectr.

Иван Мельников, ROBIN:

– Мы изначально применяли изолированный подход с жёстким и внимательным отбором: скачали все необходимые компоненты, приложения "собирали" без доступа к Сети. Любые изменения не затронут то, что уже есть. Ждём, что появится отечественный репозиторий, которому можно доверять.

У встроенных средств безопасности есть очевидные преимущества: например, нативная работа в операционной системе "без склеек", а также без привязки к какой-либо версии ядра, прокомментировал RSpectr менеджер продукта ОС РОСА "ХРОМ" Алексей Киселев. Но техподдержка чужого компонента, которая необходима для внешней защиты, иногда бывает затруднена, обратил внимание он.

Оригинал статьи