Госорганы потребуют исходный код при закупках софта
Подгруппа "Интернет+суверенитет", работающая при помощнике президента Игоре Щеголеве, предлагает обязать программистов при госзакупках предоставлять исходный код разработки.
Соответствующее предложение обсуждалось на заседании подгруппы при участии компаний "РуСофт", InfoWatch, "Ашманов и Партнеры", ассоциации разработчиков программных продуктов "Отечественный софт" и других. В итоге предложение было внесено в проект плана "Обеспечение суверенитета в области информационных технологий и телекоммуникаций".
На совещании подгруппы "Интернет+суверенитет" поднимался вопрос о включении в дорожную карту пункта, которым предлагалось обязать госорганы при закупках любого софта запрашивать исходные коды программ. Обычно после написания код компилируется в единую файл-программу, например, в формате .exe. Готовый продукт можно запускать, им можно пользоваться, но невозможно внести изменения или доработки в код, так как его уже практически невозможно декомпилировать (хотя хакерам это удавалось). Таким образом покупатель попадает в определенную зависимость от разработчика.
По словам участников заседания, представители софтверной индустрии выступили против открытия кода лицензируемого программного обеспечения. В результате сошлись во мнении, что требовать исходный код следует только при заказе изготовления софта.
По мнению главы компании "Ашманов и Партнеры" и члена рабочей группы "Интернет+суверенитет" Игоря Ашманова, госорганы должны требовать исходный код в любом случае — при покупке как лицензируемого ПО, так и разрабатываемого на заказ.
— Но при этом нужно четко оговорить, кто будет иметь доступ к коду и в каком случае. Я таким образом подписываю контракты уже 20 лет, — объясняет Игорь Ашманов. — Это совершенно нормальная процедура, когда ты приезжаешь к заказчику, где твой специалист с представителем заказчика проверяет, все ли коды на диске компилируются и собираются. Затем код запечатывается в конверт и скрепляется печатями. Обе стороны расписываются и кладут его в сейф. Стороны определяют триггер, то есть обстоятельства, когда заказчик получает право этот конверт вскрыть. Например, когда разработчик вышел из бизнеса, не оказывает техподдержку в течение 3–6 месяцев или его купили враждебные структуры. В этой ситуации госорган должен быть защищен, так как на этом ПО он мог выстроить свои процессы.
По словам Игоря Ашманова, для хранения исходных кодов стороны могут привлечь третью сторону, например банк.
Исполнительный директор ЗАО "Когнитив" Андрей Черногоров рассказал, что сейчас нет нормативов, которые предписывают в обязательном порядке требовать исходные коды, но их введение необходимо.
— Просмотр исходного кода — это безопасность госорганов. Как можно проверить безопасность ПО, если там нет открытого кода? По сути, тогда заказчик покупает "черный ящик", — отметил Андрей Черногоров.
Руководитель центра компетенции АО "НПО РусБИТех" Роман Мылицын уверен, что при заказе софта госорганы обязательно должны начать требовать исходный код.
— Когда мы приходили в госорганы и узнавали, почему они не могут перейти на отечественную операционную систему, они отвечали, что используют ряд программ, в которых ведут учет. Этот софт написан под Windows, — рассказывает он. — Мы были готовы предложить им подрядчика, который за небольшие деньги перепишет исходный код под Linux. Оказалось, что у них нет исходных кодов, они их не требовали при госзакупках.
Глава ассоциации разработчиков программных продуктов "Отечественный софт" Евгения Василенко считает правильным шагом требование исходного кода для госорганов в случае разработки системы по государственному заказу и передаче исключительных прав на продукт.