Сообщество ИТ-специалистов "Техдирский клуб" выложило в публичный доступ сведения о проектах с открытым кодом, которые содержат потенциально опасные компоненты или политическую пропаганду.

© ComNews
28.03.2022

Рост политической напряженности спровоцировал разного рода активности негативного плана, в том числе и среди авторов проектов с открытым кодом (см. новость ComNews от 22 марта 2022 г.). И мишенью для таких активностей все чаще становятся пользователи из России и Белоруссии.

С 17 марта сообщество ИТ-специалистов "Техдирский клуб" начало составление списка разработчиков, продукты которых содержат потенциально неприемлемые компоненты. "Коллеги! В связи с появившимися случаями встраивания политических лозунгов, а теперь и малвари с шифровальщиками в OpenSource-продукты, начинаем вести список опасных для использования продуктов", - говорится в обращении одного из инициаторов проекта - Алексея Казина в личном блоге на "Хабре".

Созданный список делится на разделы по деструктивным функциям - от вывода политических лозунгов в различной форме до наличия ПО для проведения DDoS-атак, шифрования или уничтожения данных. Также у сообщества имеется телеграмм-канал Toxic repos и репозиторий, содержащий рекомендации по изоляции потенциально опасных модулей и библиотек, число которых на момент написания материала превышало 200.

Полная версия списка находится по адресу https://docs.google.com/spreadsheets/d/1H3xPB4PgWeFcHjZ7NOPtrcya_Ua4jUolWm-7z9-jSpQ/edit#gid=2074850979

Глава Комитета по интеграции ПО АРПП "Отечественный софт", заместитель генерального директора компании Postgres Professional Иван Панченко назвал отслеживание вредоносного ПО, так же как и поиск уязвимостей, важной задачей и призвал широко распространять данные об обнаруженных проблемах. Он выразил надежду, что такую работу кто-то возглавит и систематизирует. Все российские пользователи только выиграют от этого.

Российские разработчики уже давно обращают внимание на потенциальную опасность открытого кода, на аудит которого далеко не всегда есть компетенции и ресурсы. И раньше в весьма широко используемых компонентах обнаруживались серьезные ошибки, некоторые из них оставались незамеченными много лет (см. новость ComNews от 1 февраля 2022 г.), и даже программные зловреды (см. новость ComNews от 28 февраля 2022 г.).

На пресс-конференции НП "Руссофт", которая прошла 23 марта, управляющий директор, председатель совета директоров компании "Диасофт" Александр Глазков отметил, что если компания не владеет используемым кодом, в том смысле, что разбирается в нем, способна его развивать и исправлять в нем ошибки, поддерживать, то это создает опасную ситуацию: "Владение кодом, способность его развивать и контролировать - миру очень нужно. И нам, здесь в России, тоже очень нужно. С одной стороны, у нас остается доступ к OpenSource, но с другой стороны, к этому коду уже активно начали проникать различные закладки и проблемы. Мы находимся в ситуации, в которой тот код, который скачан из интернета, мы должны у себя зафиксировать, кто-то в нем должен разобраться".

Основатель, член совета директоров, директор по разработке и развитию продукта компании "МойОфис" Дмитрий Комиссаров обратил также внимание на то, чтобы быть готовым заменить компоненты с открытым кодом при необходимости (см. новость ComNews от 25 марта 2022 г.).

Национальный координационный центр по компьютерным инцидентам (НКЦКИ) даже рекомендовал среди первоочередных мер по обеспечению непрерывности работы ИТ-систем создание локальных хранилищ дистрибутивов программных продуктов и ПО OpenSource, отказ от обновления таких продуктов в случае невозможности тестирования апдейтов в изолированной среде; предельное ограничение использования стороннего ПО с открытым исходным кодом; создание условий для безопасного обновления ПО с открытыми лицензиями в составе программных комплексов отечественного производства. Еще раньше схожие рекомендации принял целый ряд российских компаний и учреждений.

Новости из связанных рубрик