Пришла беда откуда не ждали
10 фев 2022 02:40 #107819
от ICT
ICT создал тему: Пришла беда откуда не ждали
Как оказалось, еще осенью 2020 г. Марак Сквайрс высказывался, что не хочет бесплатно помогать тем, кто использует его разработки для коммерческих проектов: "При всем уважении, я больше не собираюсь поддерживать компании из списка Fortune 500 и меньшего размера своей бесплатной работой. Воспользуйтесь этим как возможностью прислать мне годовой контракт с шестизначной суммой или раскошельтесь на проект и попросите кого-нибудь другого поработать над ним". Генеральный директор компании "Р7-Офис" Наталия Агафонова так прокомментировала данный инцидент: "Такие крайние ситуации происходят нечасто. И если говорить о крайностях, то недопустимо также использование в коммерческих целях общедоступных разработок, когда просто меняется название и логотип, и в результате фактически общедоступное ПО поступает в продажу как собственный продукт некоего разработчика". Директор департамента развития системных продуктов "Ред Софт" Роман Симаков сравнил такого рода инциденты с ДТП: "Конечно, аварии случаются, но все же основная масса может передвигаться без происшествий". Председатель совета директоров "Базальт СПО" Алексей Смирнов также предупреждает, что бесконтрольное использование свободных компонент сопряжено с серьезным риском, что и показал пример данного инцидента: "Корпорации, которые использовали эту библиотеку в своих системах, не должны были бездумно и без проверки использовать новую версию. Им следовало либо вступить в договорные отношения с разработчиком - чего он и хотел, - либо самостоятельно продолжать разработку в нужном направлении и самостоятельно проверять работоспособность". Генеральный директор BellSoft Александр Белокрылов считает данный инцидент симптомом системной проблемы: "Идея открытых технологий не в том, что продукт бесплатный, а в том, что код открыт. И если разработчик такой код использует в корпоративных или государственных системах, то он должен обладать соответствующей экспертизой полного цикла сопровождения такого заимствованного кода. Если такой экспертизы нет, то он должен иметь контракт с технологическим партнером, который предоставит такую услугу или лицензию на продукт, основанный на этом коде и реализующий такую функциональность". При этом, как напоминает Александр Белокрылов, в платформе "Гостех" много заимствованных компонент из проектов с открытым исходным кодом, что порождает целый ряд законных вопросов: "Как они поддерживаются? Какова внутренняя экспертиза по развитию и сопровождению этих открытых компонент? При этом доступны отечественные продукты из реестра отечественного ПО, которые реализуют этот функционал. Например, среда исполнения Java Liberica JDK Pro, сервер приложений LiberСat, СУБД Postgres Pro и др. И компании - производители такого ПО несут за него ответственность, в том числе осуществляют круглосуточную поддержку на русском языке". Всяческого рода сложности возникают регулярно, причем без злого умысла разработчиков. Как правило, они связаны с наличием серьезных уязвимостей (см., например,
новость
ComNews от 1 февраля 2022 г.). Надо сказать, это не самый показательный случай. Как отметил директор экспертного центра безопасности Positive Technologies Алексей Новиков на пресс-конференции, посвященной подведению итогов года, уязвимость в библиотеке Log4j создала фронт работ для специалистов по безопасности на месяцы вперед (см.
новость
ComNews от 24 января 2022 г.). Причем обе эти уязвимости существовали много лет, и не исключено, что о них знали потенциальные злоумышленники, но не подозревали разработчики и пользователи. Однако если за продуктом, пусть и созданным на базе свободного ПО, стоит компания, то ситуация меняется. "Что касается наших дистрибутивов, то мы берем их поддержку на себя. Для этого мы проводим полноценное тестирование, а наши разработчики участвуют в ключевых международных проектах разработки СПО. То есть мы участвуем в разработке и ядра ОС, и ключевых библиотек, и в состоянии их поддерживать", - так комментирует отличие дистрибутивов AltLinux, которые входят в Реестр российского ПО, от тех, за которыми стоит лишь сообщество разработчиков, Алексей Смирнов из "Базальт СПО". А Роман Симаков из "Ред Софт" видит активное участие в сообществах разработчиков единственно возможным способом влиять на качество "дикорастущих" продуктов с открытым кодом. "Нет, такая ситуация невозможна. Наши продукты являются коммерческими для использования в корпоративных и государственных системах. В поставку включена лицензия на поддержку, - уверен Александр Белокрылов из BellSoft. - Культура использования СПО в том числе подразумевает ответственность за код, который заимствуется у сообщества. Как минимум - это ИТ-гигиена, то есть своевременная установка обновлений безопасности. В идеале же нужно иметь внутреннюю экспертизу разработчиков, которые умеют апстримить (добавлять функционал в наиболее актуальную версию проекта) и бэкпортить (поддерживать устаревшие версии). А если такой экспертизы нет, то необходимым условием для допуска в промышленную эксплуатацию является использование ПО от разработчиков, предоставляющих гарантийную поддержку на свою продукцию, в соответствии с необходимым SLA. Мы в BellSoft это обеспечиваем, поэтому описанная в запросе ситуация исключается". "В компании "Ред Софт" внедрены процессы контроля качества. Мы тщательно проводим тестирование, прежде чем выпустить очередной релиз продукта. Безусловно все пользователи Open Source подвержены риску в той или иной степени, но мы делаем все, чтобы этого не допустить", - заверил Роман Симаков. Однако проблемы, как напоминает Наталия Агафонова из "Р7-Офис", могут возникать и с проприетарными компонентами, а не только с СПО. "Остановка разработки и прекращение поддержки может произойти и в проприетарных компонентах, которые компании приобретают и включают в свой стек разработки", - предостерегает она.
Ссылка на источник
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Похожие статьи
Тема | Релевантность | Дата |
---|---|---|
В Skype появилась функция, которую ждали 15 лет | 9.96 | Вторник, 17 июля 2018 |
Откуда звон | 9.62 | Воскресенье, 02 февраля 2020 |
Apple выпустила новые MacBook Air, iPad Pro и обновку, которую ждали 4 года. Цены | 9.44 | Вторник, 30 октября 2018 |
Как и откуда управляется сеть МегаФона | 9.41 | Четверг, 27 августа 2015 |
«Яндекс» научился определять, откуда звонят пользователю | 9.2 | Среда, 11 апреля 2018 |
Глава РКН объяснил, откуда берутся "дыры" в системе блокировок сайтов | 9.01 | Пятница, 16 июня 2017 |
МВД не удалось вернуть «Крафтвэй» в реестр недобросовестных поставщиков, откуда тот выбрался назло ФАС | 8.92 | Вторник, 04 июня 2019 |
Цифровая телефония пришла | 8.17 | Четверг, 29 января 2015 |
Lumia 640 XL пришла в Россию | 8.17 | Четверг, 02 апреля 2015 |
Tele2 пришла на почту | 8.17 | Среда, 24 июня 2015 |