От энтузиазма к стандартам: как Open Source становится инфраструктурой

Разберем, почему продуктам с открытым исходным кодом можно доверять, какие риски они создают с точки зрения безопасности, устойчивости и правового регулирования, а также рассмотрим планы государства по развитию и поддержке Open Source.

Мы в SMART technologies SOFT уверены, что доверие к продуктам с открытым исходным кодом формируется прежде всего благодаря их прозрачности. Open Source — это возможность видеть, как устроено программное обеспечение, изучать каждый компонент и проверять его безопасность. Для нас открытость не абстрактный принцип, а практический инструмент: она даёт возможность проводить независимый аудит кода как силами заказчика, так и внешних экспертов. В результате снижается масштаб “чёрного ящика”, и доверие не ослабевает, а наоборот — усиливается.

Открытый код также помогает компаниям оставаться независимыми от конкретных поставщиков. Практика «vendor lock-in», когда бизнес оказывается привязан к одному поставщику, всё чаще рассматривается как серьёзная уязвимость. Поэтому корпоративные заказчики, по данным Института исследований международных рынков (ИИМР), видят в Open Source способ сохранить гибкость и контролировать собственную технологическую архитектуру. Отдельно стоит отметить и скорость развития таких решений: мировое сообщество инженеров работает быстрее, а компании, использующие коммерческие продукты на базе открытого кода (COSS — Commercial Open Source Software), получают результат значительно раньше, чем при работе с монолитными системами.

При всех преимуществах открытого кода у него есть свои риски. Самый серьёзный — это безопасность цепочки поставок, которая охватывает весь путь программного компонента: от его создания до внедрения в инфраструктуру заказчика. Исследования, включая обзоры компании B1, показывают, что уязвимости могут присутствовать в широко используемых библиотеках. Атаки через package manager— такие как npm для JavaScript или PyPI для Python — лишний раз подтверждают, что автоматическое скачивание компонентов из публичных источников требует очень строгого контроля.

Именно поэтому мы, как вендор COSS, выстраиваем процессы разработки в соответствии с практиками DevSecOps, совмещающими разработку, эксплуатацию и безопасность. Мы используем инструменты анализа исходного кода, создаём внутренние реестры компонентов, формируем SBOM (Software Bill of Materials — перечень всех используемых библиотек и зависимостей), а также работаем в рамках российских стандартов, включая требования для объектов критической информационной инфраструктуры. Такой подход позволяет снизить риск использования непроверенных внешних зависимостей и обеспечить предсказуемость поставок.

Отдельный вызов связан с кадровым рынком. Открытое программное обеспечение требует квалифицированной команды: специалистов по Linux, по системному программированию, по базам данных. Исследования Smart Ranking показывают, что специалистов, способных вносить вклад в сложные проекты, значительно меньше, чем тех, кто готов использовать готовые решения. Именно поэтому связка открытого кода и коммерческой поддержки становится для бизнеса оптимальной — ответственность за качество, обновления и развитие продукта берёт на себя вендор, а заказчик получает устойчивую инфраструктуру.

Нельзя забывать и о правовой части. Использование Open Source предполагает работу с лицензиями — MIT (Massachusetts Institute of Technology), GPL (General Public License), BSD (Berkeley Software Distribution) и другими, а также соблюдение требований по обработке персональных данных и возможных ограничений, связанных с трансграничной передачей технологий. Это всё требует внимательности, но при правильной организации процесса становится рутинной частью корпоративного управления.

Что касается позиции государства, то интерес к Open Source в России только растёт. Уже обсуждается создание национального репозитория открытого кода и формирование единой концепции регулирования этого сектора. Государство рассматривает открытые технологии как инструмент технологического суверенитета: именно поэтому ключевые инфраструктурные элементы — операционные системы, системы управления базами данных, платформы виртуализации — всё чаще переводятся на решения с открытым кодом. Мы ожидаем, что в ближайшие годы будут закреплены стандарты качества для компонентов Open Source, а также усилятся меры поддержки компаний, развивающих коммерческие продукты на этой основе.

Мы в SMART technologies SOFT работаем так, как будто эти стандарты уже действуют: поддерживаемые нами платформы собственной разработки SMART Linux, Haribda, инструмент администрирования баз данных SQL Commander и система мониторинга СТ.Монитор изначально создаются с учётом требований безопасности, требований к критической инфраструктуре и особенностей российского регулирования. Открытый код для нас — это фундамент, на котором строится надёжный корпоративный продукт, а не самоцель.

Подробнее на it-world.ru