Наталья Касперская призвала не поддаваться мифам об opensource-решениях

Экспертное сообщество Open Source провело на территории пространства «Городские лаборатории ВЭБ.РФ» бизнес-завтрак, посвященный презентации разрабатываемой стратегии развития программного обеспечения с открытым кодом в РФ. Одним из наиболее ярких стало выступление Натальи Касперской, президента группы компаний InfoWatch, председателя правления АРПП «Отечественный софт». Она говорила о рисках применения Open Source-решений, которые должны быть учтены при разработке стратегии развития всего российского ПО, а не только свободного.

В рамках мероприятия генеральный директор Postgres Professional Олег Бартунов рассказал об основных акцентах стратегии и разделении OS и OA. Директор по перспективным технологиям Microsoft в России Владислав Шершульский говорил о целесообразности создания национальных лицензии, репозитория и НКО, объединяющей разработчиков OS-решений. Председатель совета директоров «Базальт СПО» Алексей Смирнов высказался о необходимости выработки специфических мер поддержки разработчиков OS-решений. На мероприятии также выступили создатель фонда Almaz Capital Partners Александр Галицкий, гендиректор РФРИТ Александр Павлов, заместитель генерального директора Postgres Professional Иван Панченко и публицист Андрей Колесников. В целом все спикеры, давние авторитеты в Open Source, говорили о преимуществах решений на открытом коде и о дальнейшем развитии стратегии. Каждое выступление сопровождалось сессией вопросов/ответов и дискуссией. Модератором встречи выступил экс-замминистра связи и массовых коммуникаций Илья Массух.

Выступление Натальи Касперской было посвящено возможным рискам использования OS. По ее мнению, в стратегии не решен главный вопрос, и никто из выступающих и присутствующих экспертов его не задал: а какую проблему мы, собственно, решаем этой стратегией, чего хотим добиться?

Второй момент, на который обратила внимание председатель правления АРПП «Отечественный софт» – в России нет стратегии программного обеспечения в целом, соответственно, писать стратегию для одной отдельно взятой бизнес-модели, по меньшей мере, нелогично. Если идти системно, сперва должна появиться бизнес-стратегия всего российского программного обеспечения и только потом, в дополнение к ней – стратегии для разных бизнес-моделей: SaaS, проприетарное ПО, свободное ПО. Тогда это будет логичным, системным и правильным.

Западные Open Source-решения в России: большие риски

С западными Open Source-решениями в России связаны большие риски, считает спикер. Допустим, сообщество разработчиков пишет свою «ветку» СПО или операционной системы. При этом разработчики между собой договариваются о правилах, о том, как они будут дальше развивать свой продукт. Но в любой момент они могут прекратить работу, изменить лицензию, закрыть проект. С этой точки зрения свободное ПО – безответственное ПО. Ответственным его делают люди и компании, которые начинают его развивать, отвечать за него перед клиентом, как, например, Postgres Professional.

В представленной на бизнес-завтраке стратегии указан еще один риск использования открытого ПО - низкая заинтересованность в нем заказчика. Но, по мнению спикера, это не риск, а естественное следствие указанной выше безответственности. Это, скорее, проблема разработчиков, но не риск с точки зрения цифрового суверенитета страны. Действительным риском является то, что при огульном внедрении ПО с открытым кодом Россия нарастит цифровую зависимость, а не снизит ее.

Мифы о свободном ПО

Далее докладчик упомянула некоторые широко распространенные мифы, связанные с СПО. Так, утверждение, что открытое ПО создает единое сообщество мировых разработчиков – ложь. Есть много разных сообществ и они не являются независимыми. На 95-99 % они администрируются мировыми американскими транснациональными корпорациями. При этом в киберстратегии США Россия прямо обозначена врагом. И действия США это подтверждают: например, российские разработчики имеют запрет на работу из Крыма. А в 2021 году Red Hat открыто объявила, что прекращает поддержку CentOS, на которой были написаны многие отечественные OS-решения.

«Таким образом, когда мы говорим о замене в госорганах имеющегося проприетарного ПО на свободное, нужно отдавать себе отчет, что будет, если вдруг произойдет отключение СПО. В такой обстановке странно писать в стратегии развития СПО в России о росте доли кода из РФ в международных Open Source-проектах. Нужно понять, что будет при его отключении. Российский разработчик, который берет на себя ответственность за это безответственное ПО, должен обеспечить госорганам спокойный, бесшовный переход», - говорит Н. Касперская.

Следующий миф, по мнению спикера – кажущаяся бесплатность. Платить пользователь будет, только не за лицензии, а за внедрение, доработку, эксплуатацию готовых решений на СПО, расход на которую, кстати, очень высокий. Кроме того, для поддержки OS-решений клиенту надо содержать специалистов высокого класса.

Очень часто открытость исходного кода рассматривают как гарантию отсутствия уязвимостей в ПО на базе Open Source, однако, для сложных продуктов это не так. Там бывают и закладки, и уязвимости. Все это дает основания считать OS-решения неким «черным ящиком».

Наконец, гибкость Open Source-решений тоже является не чем иным, как мифом. Гибкость зависит только от компетенции разработчиков, и если компетенция слабая, гибкости будет меньше, чем в случае с проприетарным ПО, полагает Н. Касперская.

Что касается разнообразия OS-решений, глава InfoWatch считает: там, где есть конкретное применение ПО, свободного софта мало. Разработчики Open Source крайне неохотно пишут то, у чего есть конкретные, узкие применения. В основном, они нацелены на что-то масштабное, грандиозное.

Главные выводы

Свободный код – это зона геополитического противостояния, делает вывод Наталья Касперская. При огульном внедрении свободного софта в госорганах нашу страну ждет не снижение цифровой зависимости, а ее рост. А отсюда явно вытекает риск технологического удушения. И очень наивно полагать, что разработчики будут настолько независимы, что смогут игнорировать работу пропагандистской машины США.

В завершение своего выступления Наталья Касперская предложила начать с главного – то есть, все же подумать над вариантом создания стратегии развития отечественного ПО в целом. И только в рамках этого определить, что нужно от развития свободного ПО. Она также предложила поддерживать не разработчиков решений с открытым кодом, а ответственных отечественных разработчиков, то есть тех, кто будет нести ответственность за ПО, будь оно проприетарное или открытое.

Таким образом, в рамках данного мероприятия выступление Натальи Касперской прозвучало как оппозиционное. Тем не менее, коллеги по ИТ-рынку к нему внимательно прислушались.

Рубрики: ПО, Безопасность

Ключевые слова: программное обеспечение, InfoWatch