11.12.2024

Компоненты с открытым исходным кодом (FOSS) используются в большинстве современных приложений. Это следует из отчёта «Census III», подготовленного Гарвардской школой бизнеса и Лабораторией научных инноваций Гарварда совместно с Linux Foundation Research и OpenSSF. Исследование охватило более 12 миллионов наблюдений использования FOSS в 10 000 компаниях. В анализе использованы данные автоматизированных сканирований кодовых баз и ручных проверок, что позволило изучить как прямое использование пакетов, так и их зависимости в цепочке поставок программного обеспечения. Согласно данным отчёта, 96 % кодовых баз содержат компоненты с открытым исходным кодом. Особенно заметен рост использования библиотек, адаптированных для облачных сервисов. Если ранее подходы сводились к переносу существующего ПО в облако, то теперь решения разрабатываются с учётом облачной инфраструктуры и её возможностей. Авторы обращают внимание на риски, связанные с высокой концентрацией ответственности. 40 % ведущих проектов зависят от одного-двух разработчиков, на которых приходится более 80 % всех вкладов. Это создаёт угрозу безопасности и устойчивости таких проектов. Примером является инцидент с пакетом XZ Utils, где злоумышленники внедрили вредоносный код через нового мейнтейнера, добавленного с помощью социальной инженерии. В отчёте также выделена проблема продолжительного использования устаревших технологий. Python 2, Python 3, несмотря на выпуск 16 лет назад, по-прежнему используется в 20-30 % случаев в отдельных секторах, что увеличивает риски безопасности. Эксперты подчёркивают, что упрощение процесса обновления и обеспечение полной обратной совместимости могут ускорить переход на новые версии. Рост популярности языка Rust на 500 % с момента предыдущего отчёта свидетельствует об усилении интереса к решениям, повышающим безопасность памяти. Однако отсутствие стандартизации в именовании программных компонентов увеличивает риски безопасности, что остаётся одной из ключевых проблем. Инициативы OpenSSF, такие как SLSA и Sigstore, направлены на улучшение доверия к процессам сборки и распространения программного обеспечения. Эти проекты помогают гарантировать, что код, используемый в продуктах, соответствует исходному проверенному коду. Отчёт «Census III» отражает значительные изменения в использовании FOSS и подчёркивает необходимость новых подходов к обеспечению устойчивости и безопасности в этой области. Правомерность использования открытого кода подлежит исследованию в каждом конкретном случае. Необходимо отметить, что открытое программное обеспечение – не значит бесплатное. Существует три основные разновидности лицензий, на которые распространяется программное обеспечение: проприетарная, ставшая уже традиционной, лицензия; открытая (или свободная) лицензия; лицензия программ с открытым исходным кодом. Следует оговориться, что в отношении программ для ЭВМ и баз данных государственной регистрации подлежит только переход исключительного права на зарегистрированные программу для ЭВМ или базу данных к другому лицу по договору или без договора (п. 5 ст. 1262 ГК РФ). В других случаях, в том числе при заключении лицензионного договора о предоставлении права использования программы для ЭВМ или базы данных, государственная регистрация не осуществляется. Предусмотренный п. 5 ст. 1286 ГК РФ договор заключается между обладателем исключительного права на программу для ЭВМ или базу данных и пользователем, то есть лицом, правомерно владеющим экземпляром такой программы или базы и начинающим пользование соответствующей программой или базой. Такую процедуру заключения лицензионного договора исследователи называют упрощенной.