Угроза отключения от хостинга GitHub заставила задуматься о судьбе открытого ПО

Появление собственного репозитория поможет бизнесу не переживать за безопасность. Фото: РИА Новости

В этой связи в отечественном ИТ-сообществе возник вопрос, что делать дальше с открытым кодом и в каком направлении развивать программные продукты?

Часто сервис GitHub называют репозиторием, но правильнее считать его облачным хостингом хранилищ программного кода, основанных на распределенной системе управления версиями git. Сервис при этом обладает функциями багтрекинга, социальной сети и другими платными и бесплатными дополнениями. В целом GitHub представляет собой большую экосистему, позволяющую ИТ-сообществам совместно работать над кодом. Каждый разработчик имеет возможность создать любое количество своих репозиториев и пользоваться всеми доступными сервисами. Поскольку открытое программное обеспечение (Open Source) развивается прежде всего ИТ-сообществами, разработчики нуждаются в "гиковском" аналоге социальной сети, позволяющей эффективно работать в команде. Это просто удобно.

Главный подвох открытого ПО заключается в том, что оно не принадлежит конкретной компании и находится в свободном доступе для всех разработчиков, но при этом создатель исходника прописывает правила использования софта. Применяя инструменты того же GitHub, "айтишник" может создать собственную программу при соблюдении лицензионного соглашения. Грубо говоря, каждый фрагмент открытого исходного кода, который переносится в конечный продукт, регулирует определенная лицензия. Если в ней предусмотрят запрет на использование ПО с открытым кодом или архитектурой для российских разработчиков, то отечественные программные продукты не смогут получать техническую поддержку и актуальные обновления. Учитывая, что большая часть государственного софта в нашей стране так или иначе работает на открытом коде, включая созданные на Linux российские операционные системы, то перспектива блокировки репозиториев совсем не радует.

- Github и GitLab отказались блокировать российских пользователей и продолжают предоставлять им доступ к сервису. Но тут мы сталкиваемся с рисками, - пояснил старший архитектор облачных решений EdgeЦентра Рауф Гадиров. - Во-первых, это сложность оплаты лицензий в текущих реалиях, особенно если используется расширенный функционал. Во-вторых, нет уверенности что ситуация не изменится в любой момент и компании не останутся без своего хранимого кода и его версий. Появление собственной копии репозитория помогло бы российскому бизнесу быть уверенным в завтрашнем дне и не переживать за возможные ограничения и безопасность. На текущий момент с особыми сложностями наша компания не столкнулась. Безусловно, у всех на рынке возникли трудности с доставкой нового оборудования, но мы уже нашли способы, как решить этот вопрос. Еще одна проблема - приостановка продажи лицензий со стороны Microsoft. Мы как инфраструктурный провайдер сделали копии репозитория на наших мощностях, используя локальный GitLab. Все сервисы разрабатываем самостоятельно.

Прежде считалось, что Open Source является более безопасным программным обеспечением, дающим разработчикам свободу. Однако практика показала, что ключевые игроки ИТ-рынка могут устанавливать свои правила игры. Российские "айтишники" не раз предупреждали, что открытость кода - недостаточное условие для его безопасности. К сожалению, последние громкие инциденты с уязвимостями, например в log4j, в openssl и в ядре Linux, лишний раз это подтвердили. Поэтому в целом отношение к Open Source в сообществе стало менее восторженным и более осторожным. По мнению отечественных специалистов, GitHub - это полезный сервис, но можно жить и без него. Он удобен для небольших репозиториев кода - личных или корпоративных. Все серьезные разработчики имеют собственные, независимые хранилища. GitHub же, в первую очередь, представляет собой профессиональную социальную сеть, ориентированную на работу с кодом. В целом, ИТ-компании из России стали внимательнее смотреть на стороннее ПО и аккуратнее относиться к обновлениям.

Означает ли это, что необходимо создать отечественный аналог популярного сервиса для разработчиков? Отчасти. Несмотря на то что GitHub является удобным сервисом, для профессионального ИТ-сообщества он все же не "маст хэв". По мнению экспертов, государственная стратегия должна быть направлена на развитие в стране компетенции разработчиков открытого ПО, без которой невозможны ни качественная техподдержка, ни безопасное использование софта. Своя версия популярного облачного инструмента - это уже второй вопрос, если не третий.

- Мы с коллегами принимали участие в разработке стратегии в качестве экспертов. Основная идея заключалась в том, что к Open Source нужен ответственный подход, - пояснил заместитель генерального директора компании Postgres Professional Иван Панченко. - Нельзя просто так взять и использовать открытый код в качестве бесплатной альтернативы коммерческим продуктам. Это привлекательно, но влечет риски, особенно в масштабах государственных и крупных промышленных информационных систем. Предметом господдержки должна быть именно разработка ПО, в частности открытого. При этом не стоит просто раздавать деньги разработчикам. Необходимо развивать коммерциализацию Open Source, способствовать становлению отрасли, зарабатывающей на разработке ПО с открытым кодом. Стратегия вряд ли будет принята государством в виде отдельного документа, и это правильно. Ее положения с большой вероятностью войдут в другие стратегические директивы, определяющие развитие отечественной ИТ-индустрии. Ведь открытое ПО - лишь часть софтверной отрасли, а не обособленное направление.

В то же время многие эксперты полагают, что возможные ограничения в сфере открытого программного обеспечения серьезного влияния на отечественную ИТ-индустрию и кибербезопасность не окажут. Некоторые и вовсе видят в сложившейся ситуации перспективы для дальнейшего развития.

- Сегодня открытое ПО стало еще популярнее благодаря своей прозрачности и аполитичности. При его грамотном использовании попросту невозможно незаметно внедрить какой-либо "недружественный" функционал или диктовать компаниям свои условия, - прокомментировал ситуацию на рынке руководитель центра разработки мобильных решений компании "Форсайт" Олег Бачурин. - Но оценку безопасности компонентов сейчас в любом случае необходимо проводить более основательно и тщательно. В простой копии функций GitHub нет особого смысла, так как ценность имеет не сам репозитарий, а контент - размещенные там проекты, библиотеки Open Source. Возможно, целесообразно создать свои зеркала этого ресурса. Ведь их наличие всегда полезно для разработчиков, особенно в сценарии частичного или полного отключения от мирового интернета. Мы выступаем за создание подобной российской площадки в формате конкурентоспособного веб-сервиса для хостинга ИТ-проектов и их совместной разработки. Возможно, даже с большей мировой популярностью, чем GitHub.

Многие специалисты отмечают, что проблем с доступом к сервису пока не возникло, поэтому каких-либо существенных изменений в работе они не заметили. Ситуация со свободным ПО для ряда компаний на отечественном рынке остается прежней. При этом отдельные разработчики уже напрямую занимаются импортозамещением. Так, в их линейке продуктов можно найти мобильные платформы, применяемые для разработки надежных корпоративных приложений.

Инициативы российских разработчиков готовы поддержать на федеральном уровне. Минцифры России уже анонсировало проект по созданию в России условий для публикации отечественного ПО под открытой лицензией. По сути, он станет аналогом GitHub, доступ к которому будут иметь физические и юридические лица без ограничений по национальному, территориальному и иным признакам. Первыми участниками должны стать Минцифры России, МВД, Росреестр, ПФР и ряд других государственных органов. Проект будут тестировать на протяжении двух лет - с мая 2022-го по апрель 2024 года.