Эксперт Захаров: ограничения доступа к open source создают риски для безопасности российского ПО
изображение: Z-Image Turbo
Алексей Захаров, директор по техническому консалтингу Axiom JDK, прокомментировал для CISOCLUB последствия ограничений доступа российских разработчиков к зарубежным репозиториям и open source-проектам.
По словам эксперта, программное обеспечение с открытым исходным кодом остаётся основой значительной части российской ИТ-отрасли. На базе open source создаются как отдельные продукты, так и целые экосистемы для разработки.
«В России широко используется ПО на базе открытого исходного кода (open source). Например, в нашей компании на базе open source разработано большое количество продуктов, такие как JDK, серверы приложений Libercat, контейнеры с минималистичными версиями Linux. В качестве основы мы берем базовые образы из open source и дорабатываем их под требования российского законодательства и ключевых клиентов», — рассказал Алексей Захаров.
Он отметил, что сейчас часть компаний сталкивается сразу с несколькими проблемами. Помимо ограничений работы VPN-сервисов, зарубежные репозитории библиотек постепенно закрывают доступ для российских пользователей. Дополнительные риски связаны с отсутствием гарантий безопасности артефактов, загружаемых из иностранных источников.
«Сейчас у некоторых компаний возникают проблемы с доступом open source-решениям из-за заблокированных VPN-сервисов на территории России. В дополнение к этому многие зарубежные репозитории библиотек закрывают доступ для российских пользователей. Также нет гарантии, что в артефактах, скачанных из иностранных репозиториев не будет вредоносного кода и закладок», — заявил эксперт.
По его словам, в подобных условиях усложняется получение обновлений, становится труднее исправлять ошибки и своевременно закрывать уязвимости безопасности. Это негативно влияет как на уровень защищённости программных продуктов, так и на темпы разработки.
«Поддержка в таких условиях крайне ограничена и осложнен доступ к обновлениям, также сильно ограничены возможности своевременного исправления багов и закрытия уязвимостей (CVE), от чего страдает и безопасность компании. В итоге разработка ПО осложняется, а процесс получения обновлений становится проблематичным», — отметил Алексей Захаров.
Эксперт добавил, что отсутствие регулярных обновлений постепенно приводит к накоплению технического долга, поскольку исправления уязвимостей и ошибок обычно доступны только в актуальных версиях программных компонентов.
«Если компания вовремя не обновит решение и не потратит драгоценные ресурсы разработчиков на переход на новые версии, то будет снижаться уровень безопасности ПО и, как следствие, будет расти технический долг на функциональное наполнение продукта», — подчеркнул он.
В качестве одного из способов снижения рисков Алексей Захаров назвал использование готовых решений российских поставщиков, которые поддерживают собственную инфраструктуру распространения программных компонентов и обновлений.
«Компании могут себя обезопасить от подобных проблем путем использования готовых продуктов от российских вендоров. У нашей компании уже есть доверенные репозитории с самыми востребованными артефактами, миниатюрные контейнеры для разработки на Java, которые зарегистрированы на территории РФ. Это позволит получать готовый стек проверенных в соответствии с ГОСТ Р 56539-24 строительных блоков для создания безопасных приложений, с полным циклом обновлений без ограничений и минимизацией зависимостей от иностранного софта», — заключил Алексей Захаров.
