Пакостников вывели на чистую воду
Рост политической напряженности спровоцировал разного рода активности негативного плана, в том числе и среди авторов проектов с открытым кодом (см. новость ComNews от 22 марта 2022 г.). И мишенью для таких активностей все чаще становятся пользователи из России и Белоруссии.
С 17 марта сообщество ИТ-специалистов "Техдирский клуб" начало составление списка разработчиков, продукты которых содержат потенциально неприемлемые компоненты. "Коллеги! В связи с появившимися случаями встраивания политических лозунгов, а теперь и малвари с шифровальщиками в OpenSource-продукты, начинаем вести список опасных для использования продуктов", - говорится в обращении одного из инициаторов проекта - Алексея Казина в личном блоге на "Хабре".
Созданный список делится на разделы по деструктивным функциям - от вывода политических лозунгов в различной форме до наличия ПО для проведения DDoS-атак, шифрования или уничтожения данных. Также у сообщества имеется телеграмм-канал Toxic repos и репозиторий, содержащий рекомендации по изоляции потенциально опасных модулей и библиотек, число которых на момент написания материала превышало 200.
Полная версия списка находится по адресу
Глава Комитета по интеграции ПО АРПП "Отечественный софт", заместитель генерального директора компании Postgres Professional Иван Панченко назвал отслеживание вредоносного ПО, так же как и поиск уязвимостей, важной задачей и призвал широко распространять данные об обнаруженных проблемах. Он выразил надежду, что такую работу кто-то возглавит и систематизирует. Все российские пользователи только выиграют от этого.
Российские разработчики уже давно обращают внимание на потенциальную опасность открытого кода, на аудит которого далеко не всегда есть компетенции и ресурсы. И раньше в весьма широко используемых компонентах обнаруживались серьезные ошибки, некоторые из них оставались незамеченными много лет (см. новость ComNews от 1 февраля 2022 г.), и даже программные зловреды (см. новость ComNews от 28 февраля 2022 г.).
На пресс-конференции НП "Руссофт", которая прошла 23 марта, управляющий директор, председатель совета директоров компании "Диасофт" Александр Глазков отметил, что если компания не владеет используемым кодом, в том смысле, что разбирается в нем, способна его развивать и исправлять в нем ошибки, поддерживать, то это создает опасную ситуацию: "Владение кодом, способность его развивать и контролировать - миру очень нужно. И нам, здесь в России, тоже очень нужно. С одной стороны, у нас остается доступ к OpenSource, но с другой стороны, к этому коду уже активно начали проникать различные закладки и проблемы. Мы находимся в ситуации, в которой тот код, который скачан из интернета, мы должны у себя зафиксировать, кто-то в нем должен разобраться".
Основатель, член совета директоров, директор по разработке и развитию продукта компании "МойОфис" Дмитрий Комиссаров обратил также внимание на то, чтобы быть готовым заменить компоненты с открытым кодом при необходимости (см. новость ComNews от 25 марта 2022 г.).
Национальный координационный центр по компьютерным инцидентам (НКЦКИ) даже рекомендовал среди первоочередных мер по обеспечению непрерывности работы ИТ-систем создание локальных хранилищ дистрибутивов программных продуктов и ПО OpenSource, отказ от обновления таких продуктов в случае невозможности тестирования апдейтов в изолированной среде; предельное ограничение использования стороннего ПО с открытым исходным кодом; создание условий для безопасного обновления ПО с открытыми лицензиями в составе программных комплексов отечественного производства. Еще раньше схожие рекомендации принял целый ряд российских компаний и учреждений.