0 added
0 removed
Original
2026-01-01
Modified
2026-02-21
1
<p><a>#статьи</a></p>
1
<p><a>#статьи</a></p>
2
<ul><li>28 июл 2022</li>
2
<ul><li>28 июл 2022</li>
3
<li>0</li>
3
<li>0</li>
4
</ul><p>Рассказываем, как не стать жертвой мошенников, наживающихся на пользователях Open Sourсe, и самому случайно не оказаться в рядах правонарушителей.</p>
4
</ul><p>Рассказываем, как не стать жертвой мошенников, наживающихся на пользователях Open Sourсe, и самому случайно не оказаться в рядах правонарушителей.</p>
5
<p>Иллюстрация: DC Studio / Shutterstock / Teddy / Rawpixel / Annie для Skillbox Media</p>
5
<p>Иллюстрация: DC Studio / Shutterstock / Teddy / Rawpixel / Annie для Skillbox Media</p>
6
<p>Автор статей по праву. Изучает правовые вопросы интеллектуальной собственности, информации и искусственного интеллекта. Разбирает законодательство и судебную практику для программистов.</p>
6
<p>Автор статей по праву. Изучает правовые вопросы интеллектуальной собственности, информации и искусственного интеллекта. Разбирает законодательство и судебную практику для программистов.</p>
7
<p>Вряд ли кто-то будет спорить, что Open Source и свободное ПО - это прекрасно. Собственно, оно и было придумано для того, чтобы облегчить жизнь разработчикам.</p>
7
<p>Вряд ли кто-то будет спорить, что Open Source и свободное ПО - это прекрасно. Собственно, оно и было придумано для того, чтобы облегчить жизнь разработчикам.</p>
8
<p>Однако свобода, которую даёт такой софт, таит в себе опасность. Пользователь, не стеснённый строгими рамками коммерческой лицензии, легко может попасться на удочку злоумышленников - а то и вступить в их ряды, сам того не ведая.</p>
8
<p>Однако свобода, которую даёт такой софт, таит в себе опасность. Пользователь, не стеснённый строгими рамками коммерческой лицензии, легко может попасться на удочку злоумышленников - а то и вступить в их ряды, сам того не ведая.</p>
9
<p>Из этой статьи вы узнаете:</p>
9
<p>Из этой статьи вы узнаете:</p>
10
<ul><li><a>в какие ловушки попадают пользователи открытых исходников</a>;</li>
10
<ul><li><a>в какие ловушки попадают пользователи открытых исходников</a>;</li>
11
<li><a>как наказывают провинившихся разработчиков</a>;</li>
11
<li><a>как наказывают провинившихся разработчиков</a>;</li>
12
<li><a>с какими проблемами сталкиваются суды в подобных делах</a>;</li>
12
<li><a>с какими проблемами сталкиваются суды в подобных делах</a>;</li>
13
<li><a>каким правилам следовать, чтобы спать спокойно</a>;</li>
13
<li><a>каким правилам следовать, чтобы спать спокойно</a>;</li>
14
<li><a>что не так с информационной безопасностью в свободном ПО</a>.</li>
14
<li><a>что не так с информационной безопасностью в свободном ПО</a>.</li>
15
</ul><p>По закону, пока не будет доказано иное, автором считается тот, кто указан в этом качестве на оригинале или копии произведения. Отсюда и риски, возникающие в ситуации, когда вы выкладываете свою программу с открытым кодом под одной из свободных лицензий. Любой недобросовестный разработчик может использовать ваш код в своём продукте и даже выдавать его за собственный. И выяснится это, скорее всего, не сразу.</p>
15
</ul><p>По закону, пока не будет доказано иное, автором считается тот, кто указан в этом качестве на оригинале или копии произведения. Отсюда и риски, возникающие в ситуации, когда вы выкладываете свою программу с открытым кодом под одной из свободных лицензий. Любой недобросовестный разработчик может использовать ваш код в своём продукте и даже выдавать его за собственный. И выяснится это, скорее всего, не сразу.</p>
16
<p>Точно так же опасность возникает, если вы используете чей-то открытый код в своих разработках. Никто не может гарантировать, что его автор законопослушен, что именно он обладает правами на код и может распространять его под указанной им лицензией. Сами того не подозревая, вы рискуете нарушить чьи-то авторские права или лицензионные условия - со всеми вытекающими из этого судебными последствиями.</p>
16
<p>Точно так же опасность возникает, если вы используете чей-то открытый код в своих разработках. Никто не может гарантировать, что его автор законопослушен, что именно он обладает правами на код и может распространять его под указанной им лицензией. Сами того не подозревая, вы рискуете нарушить чьи-то авторские права или лицензионные условия - со всеми вытекающими из этого судебными последствиями.</p>
17
<p>Ситуации могут быть самые разные. Например, вы использовали в своём проекте код, распространяемый под разрешительной лицензией, а потом выяснилось, что он включает в себя части проприетарного кода, который скопировали нелегально. Или кто-то не особо щепетильный в юридических вопросах объединил в одну библиотеку фрагменты кода из источников, выпущенных под разными лицензиями. Либо же, не заморачиваясь, изменил вид лицензии - скажем, с GPL на MIT.</p>
17
<p>Ситуации могут быть самые разные. Например, вы использовали в своём проекте код, распространяемый под разрешительной лицензией, а потом выяснилось, что он включает в себя части проприетарного кода, который скопировали нелегально. Или кто-то не особо щепетильный в юридических вопросах объединил в одну библиотеку фрагменты кода из источников, выпущенных под разными лицензиями. Либо же, не заморачиваясь, изменил вид лицензии - скажем, с GPL на MIT.</p>
18
<p>Во всех случаях вы будете нести ответственность за юридическую чистоту использованного вами открытого кода, причём вне зависимости от того, знали ли вы о нарушении чужих авторских прав или нет.</p>
18
<p>Во всех случаях вы будете нести ответственность за юридическую чистоту использованного вами открытого кода, причём вне зависимости от того, знали ли вы о нарушении чужих авторских прав или нет.</p>
19
<p>Занятный казус из судебной практики. Один российский программист предложил бывшему работодателю заключить лицензионное соглашение, которое позволяло бы использовать созданную им программу на условиях простой неисключительной лицензии с сохранением за ним авторских прав и ограничением коммерческого использования.</p>
19
<p>Занятный казус из судебной практики. Один российский программист предложил бывшему работодателю заключить лицензионное соглашение, которое позволяло бы использовать созданную им программу на условиях простой неисключительной лицензии с сохранением за ним авторских прав и ограничением коммерческого использования.</p>
20
<p>Через некоторое время он обнаружил, что из строки кода исчез знак охраны авторского права. Айтишник подал в суд, потребовав восстановления своих прав и компенсации за их нарушения. Причём не только от бывшего работодателя, но и от администратора домена, разместившего спорную программу.</p>
20
<p>Через некоторое время он обнаружил, что из строки кода исчез знак охраны авторского права. Айтишник подал в суд, потребовав восстановления своих прав и компенсации за их нарушения. Причём не только от бывшего работодателя, но и от администратора домена, разместившего спорную программу.</p>
21
<p>Суд первой инстанции вынес решение в его пользу. Однако после апелляции его отменили: выяснилось, что и сам автор нарушил условия использования программных библиотек по GPL-лицензии, так что разработанная им программа - по сути, производная и никаких особых прав на неё он не имеет.</p>
21
<p>Суд первой инстанции вынес решение в его пользу. Однако после апелляции его отменили: выяснилось, что и сам автор нарушил условия использования программных библиотек по GPL-лицензии, так что разработанная им программа - по сути, производная и никаких особых прав на неё он не имеет.</p>
22
<p>IT-компаниям не стоит экономить на юристах, специализирующихся на вопросах авторского права. Полностью избежать риска некорректного заимствования не получится, но вы хотя бы сможете доказать, что были добросовестны, осмотрительны и проверили, насколько это возможно, авторство чужого кода.</p>
22
<p>IT-компаниям не стоит экономить на юристах, специализирующихся на вопросах авторского права. Полностью избежать риска некорректного заимствования не получится, но вы хотя бы сможете доказать, что были добросовестны, осмотрительны и проверили, насколько это возможно, авторство чужого кода.</p>
23
<p>Согласно российскому законодательству, есть два вида имущественной ответственности за нарушение авторских прав: полное возмещение убытков или компенсация в размере от 10 тысяч до 5 миллионов рублей.</p>
23
<p>Согласно российскому законодательству, есть два вида имущественной ответственности за нарушение авторских прав: полное возмещение убытков или компенсация в размере от 10 тысяч до 5 миллионов рублей.</p>
24
<p><strong>Возмещение убытков</strong>- сложная для истца процедура, ведь ему нужно будет обосновывать указанный им размер убытков.</p>
24
<p><strong>Возмещение убытков</strong>- сложная для истца процедура, ведь ему нужно будет обосновывать указанный им размер убытков.</p>
25
<p><strong>Компенсация</strong>, с одной стороны, удобнее: можно затребовать твёрдую сумму, двукратную стоимость контрафактных экземпляров или двукратную стоимость лицензионного договора на использование произведения. Однако не стоит забывать про верхний предел в пять миллионов; при нарушении прав на софт это будет довольно скромным утешением.</p>
25
<p><strong>Компенсация</strong>, с одной стороны, удобнее: можно затребовать твёрдую сумму, двукратную стоимость контрафактных экземпляров или двукратную стоимость лицензионного договора на использование произведения. Однако не стоит забывать про верхний предел в пять миллионов; при нарушении прав на софт это будет довольно скромным утешением.</p>
26
<p>Кроме того, в некоторых случаях возможна и компенсация морального ущерба - например, если пострадала репутация автора. Конкретную сумму определяет суд исходя из обстоятельств дела.</p>
26
<p>Кроме того, в некоторых случаях возможна и компенсация морального ущерба - например, если пострадала репутация автора. Конкретную сумму определяет суд исходя из обстоятельств дела.</p>
27
<p>Ответчиком в подобных делах рискует стать любой, кто пользуется ПО с открытым кодом. Например:</p>
27
<p>Ответчиком в подобных делах рискует стать любой, кто пользуется ПО с открытым кодом. Например:</p>
28
<ul><li>перед правообладателями, если вы нарушили условия свободной лицензии;</li>
28
<ul><li>перед правообладателями, если вы нарушили условия свободной лицензии;</li>
29
<li>перед действительными авторами, если вы не проверили авторство программы и нарушили их права;</li>
29
<li>перед действительными авторами, если вы не проверили авторство программы и нарушили их права;</li>
30
<li>перед иными правообладателями: продукт с открытым кодом может включать в себя другие объекты интеллектуальной собственности - например, запатентованные. Не любая свободная лицензия предоставляет на них права, необходимые для использования программы. И даже если такие права предоставлены, как, например, в Apache 2.0, это не исключает возможного возникновения патентных исков.</li>
30
<li>перед иными правообладателями: продукт с открытым кодом может включать в себя другие объекты интеллектуальной собственности - например, запатентованные. Не любая свободная лицензия предоставляет на них права, необходимые для использования программы. И даже если такие права предоставлены, как, например, в Apache 2.0, это не исключает возможного возникновения патентных исков.</li>
31
</ul><p>У всех тяжб, связанных с имущественной ответственностью, есть не самый радостный нюанс: даже если вам удастся в конце концов доказать свою невиновность, это не спасёт вас от побочных неприятностей. Допустим, правообладатель может запретить вам использовать спорное ПО на всё время судебного разбирательства.</p>
31
</ul><p>У всех тяжб, связанных с имущественной ответственностью, есть не самый радостный нюанс: даже если вам удастся в конце концов доказать свою невиновность, это не спасёт вас от побочных неприятностей. Допустим, правообладатель может запретить вам использовать спорное ПО на всё время судебного разбирательства.</p>
32
<p>Напомню один из самых известных имущественных процессов. В 2017 году компания Artifex, создавшая Ghostscript, подала в суд на Hancom, включившую эту разработку в свой офисный пакет.</p>
32
<p>Напомню один из самых известных имущественных процессов. В 2017 году компания Artifex, создавшая Ghostscript, подала в суд на Hancom, включившую эту разработку в свой офисный пакет.</p>
33
<p>Суть спора заключалась в следующем: у Artifex было две лицензии на Ghostscript - свободная (GPL) и коммерческая. В Hancom решили схитрить: воспользоваться открытой версией Ghostscript, но свой продукт в качестве свободного ПО не выпускать. Истец счёл это нарушением условий лицензии.</p>
33
<p>Суть спора заключалась в следующем: у Artifex было две лицензии на Ghostscript - свободная (GPL) и коммерческая. В Hancom решили схитрить: воспользоваться открытой версией Ghostscript, но свой продукт в качестве свободного ПО не выпускать. Истец счёл это нарушением условий лицензии.</p>
34
<p>В результате ответчику пришлось пойти на мирное урегулирование конфликта, условия которого, впрочем, стороны предпочли сохранить в тайне.</p>
34
<p>В результате ответчику пришлось пойти на мирное урегулирование конфликта, условия которого, впрочем, стороны предпочли сохранить в тайне.</p>
35
<p>Общий принцип всех свободных лицензий - ПО предоставляется "как есть": разработчик не отвечает за качество и не гарантирует, что его продукт будет пригодным для ваших целей. Зато все желающие могут использовать и модифицировать программу по своему усмотрению, тем самым совершенствуя её и устраняя недостатки. В этом и состоит одна из ключевых идей открытого ПО.</p>
35
<p>Общий принцип всех свободных лицензий - ПО предоставляется "как есть": разработчик не отвечает за качество и не гарантирует, что его продукт будет пригодным для ваших целей. Зато все желающие могут использовать и модифицировать программу по своему усмотрению, тем самым совершенствуя её и устраняя недостатки. В этом и состоит одна из ключевых идей открытого ПО.</p>
36
<p>Однако полный отказ от гарантий и ответственности создаёт определённые риски для пользователей. Если им будет причинён вред, они не смогут предъявить претензии, поскольку согласились с условиями лицензии. Зато, если пользователь в результате работы с таким ПО нанесёт ущерб третьим лицам, он понесёт перед ними ответственность.</p>
36
<p>Однако полный отказ от гарантий и ответственности создаёт определённые риски для пользователей. Если им будет причинён вред, они не смогут предъявить претензии, поскольку согласились с условиями лицензии. Зато, если пользователь в результате работы с таким ПО нанесёт ущерб третьим лицам, он понесёт перед ними ответственность.</p>
37
<p>Свободные лицензии изначально ориентировались на нормы американского права, поэтому их ранние версии противоречат актуальному законодательству об авторском праве. Например, в терминологии по части использования и переработки софта.</p>
37
<p>Свободные лицензии изначально ориентировались на нормы американского права, поэтому их ранние версии противоречат актуальному законодательству об авторском праве. Например, в терминологии по части использования и переработки софта.</p>
38
<p>Понятно, что современные версии наиболее популярных лицензий, таких как GPLv3, основаны на международных стандартах авторского права, а потому ближе к российскому законодательству - например, к поправкам в <a>часть 4 ГК РФ (статьи 1286 п. 5; 1286.1)</a>. Но риски противоречий всё-таки сохраняются.</p>
38
<p>Понятно, что современные версии наиболее популярных лицензий, таких как GPLv3, основаны на международных стандартах авторского права, а потому ближе к российскому законодательству - например, к поправкам в <a>часть 4 ГК РФ (статьи 1286 п. 5; 1286.1)</a>. Но риски противоречий всё-таки сохраняются.</p>
39
<p>Наши суды чаще всего сталкиваются с проблемами в следующем:</p>
39
<p>Наши суды чаще всего сталкиваются с проблемами в следующем:</p>
40
<ul><li><strong>Идентификация сторон договора.</strong>В свободных лицензиях автор и правообладатель - одно лицо. Но остаётся проблема соавторства: открытое ПО - нередко результат труда многих разработчиков. Согласно ГК РФ, лицензиатом становится любой, кто принял условия лицензии.</li>
40
<ul><li><strong>Идентификация сторон договора.</strong>В свободных лицензиях автор и правообладатель - одно лицо. Но остаётся проблема соавторства: открытое ПО - нередко результат труда многих разработчиков. Согласно ГК РФ, лицензиатом становится любой, кто принял условия лицензии.</li>
41
<li><strong>Идентификация предмета договора.</strong>Гражданский кодекс РФ определяет, что предметом открытой лицензии становится не само произведение, а право его использования в предусмотренных договором пределах. Таким образом, взаимные или копилефт-лицензии распространяют своё действие не только на первоначальную, но и на производные программы.</li>
41
<li><strong>Идентификация предмета договора.</strong>Гражданский кодекс РФ определяет, что предметом открытой лицензии становится не само произведение, а право его использования в предусмотренных договором пределах. Таким образом, взаимные или копилефт-лицензии распространяют своё действие не только на первоначальную, но и на производные программы.</li>
42
<li><strong>Форма договора.</strong>Согласно<a>ст. 1286.1 ГК РФ</a>, лицензионные договоры должны заключаться в простой письменной форме. В открытой лицензии можно указывать действия, совершение которых будет считаться принятием её условий. В этом случае письменная форма договора считается соблюдённой.</li>
42
<li><strong>Форма договора.</strong>Согласно<a>ст. 1286.1 ГК РФ</a>, лицензионные договоры должны заключаться в простой письменной форме. В открытой лицензии можно указывать действия, совершение которых будет считаться принятием её условий. В этом случае письменная форма договора считается соблюдённой.</li>
43
<li><strong>Ограничение личных неимущественных прав автора.</strong>Свободные лицензии, предоставляющие право на модификацию программы, ограничивают право автора на неприкосновенность произведения. В российском законодательстве такое ограничение запрещено: переработка признаётся новым произведением на основе существующего. Остаётся вопрос, можно ли каждую модификацию программы считать переработкой.</li>
43
<li><strong>Ограничение личных неимущественных прав автора.</strong>Свободные лицензии, предоставляющие право на модификацию программы, ограничивают право автора на неприкосновенность произведения. В российском законодательстве такое ограничение запрещено: переработка признаётся новым произведением на основе существующего. Остаётся вопрос, можно ли каждую модификацию программы считать переработкой.</li>
44
<li><strong>Распространение условий первоначального договора на последующих пользователей.</strong>Если пользователь раздаёт немодифицированную программу, последующие пользователи получают права не от него, а от правообладателя. Если же программа модифицирована и модификация может считаться переработкой, права передаёт её автор.</li>
44
<li><strong>Распространение условий первоначального договора на последующих пользователей.</strong>Если пользователь раздаёт немодифицированную программу, последующие пользователи получают права не от него, а от правообладателя. Если же программа модифицирована и модификация может считаться переработкой, права передаёт её автор.</li>
45
</ul><p>Но когда мы имеем дело с множеством соавторов, каждый из которых вносит свой вклад в продукт, установить, кто кому передаёт права в каждый конкретный момент времени, практически невозможно.</p>
45
</ul><p>Но когда мы имеем дело с множеством соавторов, каждый из которых вносит свой вклад в продукт, установить, кто кому передаёт права в каждый конкретный момент времени, практически невозможно.</p>
46
<ul><li><strong>Понятие производного произведения.</strong>В <a>Постановлении Пленума ВС РФ о применении части четвёртой ГК РФ</a>производное произведение определяется как новое, созданное на основе уже существующего. Модификация программы может по-разному определяться в свободных лицензиях, и эти определения не обязательно будут совпадать с терминологией российского законодательства. Кроме того, не каждая модификация программы может считаться производным произведением.</li>
46
<ul><li><strong>Понятие производного произведения.</strong>В <a>Постановлении Пленума ВС РФ о применении части четвёртой ГК РФ</a>производное произведение определяется как новое, созданное на основе уже существующего. Модификация программы может по-разному определяться в свободных лицензиях, и эти определения не обязательно будут совпадать с терминологией российского законодательства. Кроме того, не каждая модификация программы может считаться производным произведением.</li>
47
</ul><p>Вот несколько простых правил, которые позволят вам работать, не опасаясь неприятностей с законом:</p>
47
</ul><p>Вот несколько простых правил, которые позволят вам работать, не опасаясь неприятностей с законом:</p>
48
<ul><li>Пройдите хотя бы минимальный ликбез по авторскому праву. Особое внимание уделите вопросам корректного заимствования готового кода.</li>
48
<ul><li>Пройдите хотя бы минимальный ликбез по авторскому праву. Особое внимание уделите вопросам корректного заимствования готового кода.</li>
49
<li>Если используете чужой открытый код под разными лицензиями, внимательно прочитайте их условия и проверьте совместимость.</li>
49
<li>Если используете чужой открытый код под разными лицензиями, внимательно прочитайте их условия и проверьте совместимость.</li>
50
<li>Если планируете модифицировать и распространять чужой открытый код, убедитесь в правомерности своих действий.</li>
50
<li>Если планируете модифицировать и распространять чужой открытый код, убедитесь в правомерности своих действий.</li>
51
<li>Если ваш проект будет проприетарным, проверьте, не нарушает ли это условия свободной лицензии чужого открытого кода.</li>
51
<li>Если ваш проект будет проприетарным, проверьте, не нарушает ли это условия свободной лицензии чужого открытого кода.</li>
52
<li>Если выпускаете проект с открытым кодом, работодатель должен знать об этом и дать своё согласие. Иначе вы рискуете, потому что претензии по поводу нарушенных авторских прав в конечном итоге предъявят вам.</li>
52
<li>Если выпускаете проект с открытым кодом, работодатель должен знать об этом и дать своё согласие. Иначе вы рискуете, потому что претензии по поводу нарушенных авторских прав в конечном итоге предъявят вам.</li>
53
</ul><p>Также проект может содержать конфиденциальную информацию, сведения, составляющие коммерческую тайну. Это потребует отдельного согласования с юристами. Плюс ко всему нужно учитывать, что не все свободные лицензии совместимы между собой.</p>
53
</ul><p>Также проект может содержать конфиденциальную информацию, сведения, составляющие коммерческую тайну. Это потребует отдельного согласования с юристами. Плюс ко всему нужно учитывать, что не все свободные лицензии совместимы между собой.</p>
54
<p>Проекты Open Source задействуют большое количество участников. Не все из них разбираются в вопросах безопасности ПО. Если централизованная проверка созданного кода не проводится, возникает опасность включения вредоносных фрагментов вроде backdoor и spyware.</p>
54
<p>Проекты Open Source задействуют большое количество участников. Не все из них разбираются в вопросах безопасности ПО. Если централизованная проверка созданного кода не проводится, возникает опасность включения вредоносных фрагментов вроде backdoor и spyware.</p>
55
<p>Кроме того, не всегда есть общий алгоритм устранения неполадок в случае обнаружения уязвимостей (system vulnerabilities), а обновления, которые помогают с ними бороться, выходят нерегулярно. Это может привести к серьёзным угрозам информационной безопасности по всему миру.</p>
55
<p>Кроме того, не всегда есть общий алгоритм устранения неполадок в случае обнаружения уязвимостей (system vulnerabilities), а обновления, которые помогают с ними бороться, выходят нерегулярно. Это может привести к серьёзным угрозам информационной безопасности по всему миру.</p>
56
<p>Например, уязвимость в Apache Log4j - библиотеке, которая используется миллионами корпоративных приложений и Java-серверами, - позволяла преступникам выполнять произвольный код на сервере или устройстве, чтобы похитить данные или внедрить вредоносную программу.</p>
56
<p>Например, уязвимость в Apache Log4j - библиотеке, которая используется миллионами корпоративных приложений и Java-серверами, - позволяла преступникам выполнять произвольный код на сервере или устройстве, чтобы похитить данные или внедрить вредоносную программу.</p>
57
<p>Точно так же в 2014 году большой резонанс вызвала уязвимость Heartbleed, обнаруженная в компоненте с открытым исходным кодом OpenSSL.</p>
57
<p>Точно так же в 2014 году большой резонанс вызвала уязвимость Heartbleed, обнаруженная в компоненте с открытым исходным кодом OpenSSL.</p>
58
<p>Собрать данные о том, какие компании и популярные приложения используют тот или иной открытый код, несложно: информацию можно найти на форумах, в статьях, интервью разработчиков. Поэтому нарушители, внедрившие вредоносный код в открытый софт, точно знают, кого и как атаковать.</p>
58
<p>Собрать данные о том, какие компании и популярные приложения используют тот или иной открытый код, несложно: информацию можно найти на форумах, в статьях, интервью разработчиков. Поэтому нарушители, внедрившие вредоносный код в открытый софт, точно знают, кого и как атаковать.</p>
59
<p>Определённую роль играет уход с российского рынка иностранных поставщиков ПО. Поскольку быстро заменить коммерческие решения не получается, повышается спрос на решения Open Source. Отсюда повышенные риски.</p>
59
<p>Определённую роль играет уход с российского рынка иностранных поставщиков ПО. Поскольку быстро заменить коммерческие решения не получается, повышается спрос на решения Open Source. Отсюда повышенные риски.</p>
60
<p>В зарубежной практике есть система договоров-стратегий SLA (Service Level Agreement, соглашение об уровне обслуживания). Его заключают заказчик и поставщик Open Source для уменьшения рисков отсутствия обратной связи и решения проблем информационной безопасности.</p>
60
<p>В зарубежной практике есть система договоров-стратегий SLA (Service Level Agreement, соглашение об уровне обслуживания). Его заключают заказчик и поставщик Open Source для уменьшения рисков отсутствия обратной связи и решения проблем информационной безопасности.</p>
61
<p>Хорошо известны инструменты по повышению безопасности открытого ПО:</p>
61
<p>Хорошо известны инструменты по повышению безопасности открытого ПО:</p>
62
<ul><li>статические анализаторы исходного кода (SAST);</li>
62
<ul><li>статические анализаторы исходного кода (SAST);</li>
63
<li>динамические анализаторы безопасности приложений (DAST);</li>
63
<li>динамические анализаторы безопасности приложений (DAST);</li>
64
<li>автоматизированные сценарии тестирования в процессе проверки качества (QA);</li>
64
<li>автоматизированные сценарии тестирования в процессе проверки качества (QA);</li>
65
<li>анализаторы многоуровневых взаимозависимостей между своими и сторонними компонентами (SCA);</li>
65
<li>анализаторы многоуровневых взаимозависимостей между своими и сторонними компонентами (SCA);</li>
66
<li>анализаторы безопасности скриптов, используемых для построения "инфраструктуры как кода";</li>
66
<li>анализаторы безопасности скриптов, используемых для построения "инфраструктуры как кода";</li>
67
<li>анализаторы безопасности образов и конфигураций контейнеров и средств для их оркестрации.</li>
67
<li>анализаторы безопасности образов и конфигураций контейнеров и средств для их оркестрации.</li>
68
</ul><p>В 2020 году Linux Foundation совместно с GitHub, Google, IBM, JPMorgan Chase, Microsoft, NCC Group, OWASP Foundation и Red Hat учредила новый совместный проект<a>OpenSSF (Open Source Security Foundation)</a>, целью которого стало повышение безопасности ПО с открытым кодом. К инициативе также присоединились GitLab, HackerOne, Intel, Uber, VMware, ElevenPaths, Okta, Purdue, SAFECode, StackHawk и Trail of Bits.</p>
68
</ul><p>В 2020 году Linux Foundation совместно с GitHub, Google, IBM, JPMorgan Chase, Microsoft, NCC Group, OWASP Foundation и Red Hat учредила новый совместный проект<a>OpenSSF (Open Source Security Foundation)</a>, целью которого стало повышение безопасности ПО с открытым кодом. К инициативе также присоединились GitLab, HackerOne, Intel, Uber, VMware, ElevenPaths, Okta, Purdue, SAFECode, StackHawk и Trail of Bits.</p>
69
<p>В числе задач проекта названы:</p>
69
<p>В числе задач проекта названы:</p>
70
<ul><li>раскрытие информации об уязвимостях и распространение исправлений;</li>
70
<ul><li>раскрытие информации об уязвимостях и распространение исправлений;</li>
71
<li>разработка инструментов для обеспечения безопасности;</li>
71
<li>разработка инструментов для обеспечения безопасности;</li>
72
<li>разработка и публикация лучших практик по ИБ при организации разработки;</li>
72
<li>разработка и публикация лучших практик по ИБ при организации разработки;</li>
73
<li>выявление угроз в открытом ПО, аудит и усиление ИБ критически важных открытых проектов;</li>
73
<li>выявление угроз в открытом ПО, аудит и усиление ИБ критически важных открытых проектов;</li>
74
<li>организация идентификации и подтверждения личности разработчиков для исключения внесения нелегитимных изменений в код.</li>
74
<li>организация идентификации и подтверждения личности разработчиков для исключения внесения нелегитимных изменений в код.</li>
75
</ul><p>Среди других проектов, исследующих защищённость открытого ПО, -<a>Coverity</a>, созданный в сотрудничестве со Стэнфордским университетом;<a>PVS-Studio</a>; сообщество<a>Open Web Application Security Project</a>(OWASP).</p>
75
</ul><p>Среди других проектов, исследующих защищённость открытого ПО, -<a>Coverity</a>, созданный в сотрудничестве со Стэнфордским университетом;<a>PVS-Studio</a>; сообщество<a>Open Web Application Security Project</a>(OWASP).</p>
76
<p>В последнее время повышенное внимание безопасности открытого кода уделяется и в отечественной IT-индустрии.</p>
76
<p>В последнее время повышенное внимание безопасности открытого кода уделяется и в отечественной IT-индустрии.</p>
77
<p>Например, по инициативе<a>Федеральной службы по техническому и экспортному контролю (ФСТЭК)</a>создан Технологический центр исследования безопасности ядра Linux. В октябре 2021 года представители ФСТЭК, научного сообщества и IT-рынка раскрыли концепцию центра и рассказали, как он будет работать.</p>
77
<p>Например, по инициативе<a>Федеральной службы по техническому и экспортному контролю (ФСТЭК)</a>создан Технологический центр исследования безопасности ядра Linux. В октябре 2021 года представители ФСТЭК, научного сообщества и IT-рынка раскрыли концепцию центра и рассказали, как он будет работать.</p>
78
<p>Центр будет исследовать и совершенствовать защиту отечественных дистрибутивов Linux и всего, что на них создано. А также "обеспечивать технологическую независимость российских компаний-разработчиков дистрибутивов и программно-аппаратных средств от внешних игроков".</p>
78
<p>Центр будет исследовать и совершенствовать защиту отечественных дистрибутивов Linux и всего, что на них создано. А также "обеспечивать технологическую независимость российских компаний-разработчиков дистрибутивов и программно-аппаратных средств от внешних игроков".</p>
79
<p>В апреле 2022 года начала работать<a>АНО "Открытый код"</a>. Её директором стала<a>Любовь Орлова</a>, в 2014-2015 годах возглавлявшая<a>Российскую ассоциацию свободного программного обеспечения</a>(РАСПО). В состав учредителей входят Ростелеком, Т1, VK, Россельхозбанк, "АДС Групп", Фонд информационной демократии и другие. В планах организации - создать среду для разработчиков национальных проектов с открытым кодом.</p>
79
<p>В апреле 2022 года начала работать<a>АНО "Открытый код"</a>. Её директором стала<a>Любовь Орлова</a>, в 2014-2015 годах возглавлявшая<a>Российскую ассоциацию свободного программного обеспечения</a>(РАСПО). В состав учредителей входят Ростелеком, Т1, VK, Россельхозбанк, "АДС Групп", Фонд информационной демократии и другие. В планах организации - создать среду для разработчиков национальных проектов с открытым кодом.</p>
80
<a><b>Бесплатный курс по Python ➞</b>Мини-курс для новичков и для опытных кодеров. 4 крутых проекта в портфолио, живое общение со спикером. Кликните и узнайте, чему можно научиться на курсе. Смотреть программу</a>
80
<a><b>Бесплатный курс по Python ➞</b>Мини-курс для новичков и для опытных кодеров. 4 крутых проекта в портфолио, живое общение со спикером. Кликните и узнайте, чему можно научиться на курсе. Смотреть программу</a>