Госсайтам предлагают принудительно локализоваться

31.03.2022 |

Игорь Новиков.

Правительству РФ предлагают обязать госсайты хранить внешний зарубежный программный код на локальных серверах, применяя его предварительную проверку, взамен получения кода от вендора.

Компания АНО «Цифровые платформы» направило в аппарат вице-премьера Дмитрия Чернышенко список свободно распространяемого ПО зарубежной разработки, используемого в работе госсайтов. По мнению гендиректора АНО Арсения Щельцина, данное ПО якобы может быть изменено на сайтах их хранения, после чего оно может использоваться для распространения провокационных лозунгов антироссийского или проукраинского содержания.

Как сообщает “Ъ”, в распоряжении которого оказалось данное письмо, в список попали популярные среди Web-мастеров библиотеки программного кода JavaScript, наборы стилевых таблиц CSS, популярная платформа Node.js и даже сайт украинского клавиатурного тренажера Ratatype.

По мнению автора письма, внутри перечисленных файлов специалистами АНО были обнаружены текстовые вставки с публичной поддержкой Украины. Программный код модулей не был изменен, поэтому присутствие посторонних комментариев не сказывалось на работе элементов.

АНО отмечает, что код названных разработок широко применяется в качестве стандартных средств для строительства госсайтов. Согласно оценкам, до 68% государственных Web-ресурсов используют эти элементы.

Поскольку появления безобидных текстовых вставок может быть заменено в будущем на вставку компрометирующего кода, Щельцин предлагает заранее скачать и проверить программный код внешних библиотек, чтобы подготовить стабильные версии и хранить их на локальных серверах. В дальнейшем следует загружать код именно локально, а не из внешних источников.

В аппарате Чернышенко пока не отреагировали на письмо АНО «Цифровые платформы», сославшись, что оно еще не получено.

Методы борьбы

По мнению АНО «Цифровые платформы», загрузка любого кода с зарубежных серверов их разработчиков является потенциально опасной операцией. В условиях обострения политической ситуации через эту лазейку на госсайтах могут появляться вирусы и баннеры «политической агитации». Со слов АНО, уже были выявлены случаи появления таких «зловредных внедрений».

В то же время эксперты, комментирующие это письмо, обращают внимание на другие риски, которые возникают в случае появления статичных локальных копий. Это - более высокий риск для безопасности сайтов из-за отсутствия обновлений библиотек. Такие обновления постоянно возникают по мере выявления ранее неизвестных уязвимостей. По мнению экспертов, переход на статичные локальные библиотеки приведет к тому, что в будущем госсайты будут лишены получать обновления безопасности.

Отвечая эти ириски, АНО предлагает госсайтам использовать стабильные версии программного кода, полученные через российский сервис по доставке контента CDNvideo.

Узлы сети CDNvideo расположены в 20 городах России, а также в Украине, Беларуси, Казахстане, Молдавии, Германии, Нидерландах, США, Азербайджане, Армении, Израиле, Узбекистане, Киргизии, Сингапуре. Емкость сети CDNvideo в России составляет более 1 Тбит/с при доступности 99,99%.

Рекламный ход АНО или реальная озабоченность?

Оценивая предложение АНО, эксперты высказывают различные точки зрения. Например, Михаил Климарев, исполнительный директор фонда «Общество защиты интернета», назвал шаг АНО рекламой услуг CDNvideo.

Климарев отметил, что Интернет развивается как взаимосвязанная система, охватывающая огромное количество разработчиков. Он строится на принципах доверия к разработчику. Более того, риск пропуска обновлений безопасности в случае перехода на локальные версии кода многократно возрастает из-за особенностей ведения Web-разработок. Отслеживание неизменности программного кода сайтов обычно возлагается на системы CMS, которые не могут контролировать появление обновлений на сайтах вендоров.

Риск появления вредоносного кода может возникнуть только в случае отправки в адрес российских пользователей клонированных версий кода руками самих вендоров. Однако это связано с нарушением принципов разработки свободного ПО, которые предусматривают запрет дискриминации. Более того, проверку загружаемого кода обычно ведет антивирусное ПО, которое способно выявлять вредоносные отклонения.