無料で安全：フリーソフトウェアの主な神話

12月下旬に通信省は、政府機関へのフリーソフトウェア（STR）の導入に関する見解を発表しました。 このドキュメントには、無料製品の利点がリストされており、その中で最も重要なものは無料とセキュリティです。 しかし、本当にそうですか？

無料とは無料ですか？

フリーソフトウェアは同時にフリーであると広く信じられています。 通信省の文書はこの特定の論文を使用しました：

まず、安価で腐敗防止です。 オープンソースソフトウェアは、インストールされたプログラムのコピーごとにロイヤリティを必要としません。

しかし、オープンソース運動の創設者であるリチャード・ストールマンを含むIT専門家は同意しません。 ストールマン自身はそれぞれの演説で次のフレーズを繰り返します。

無料とは無料ですが、無料ではありません。 そして、これはすべてオープンソースと同等ではありません。 これらは、混合してはならない3つの概念です。

この意見を確認する例については、遠くに行く必要はありません。 最近のものから、Dell は 、デバイスでAndroidおよびChrome OSを使用した場合にMicrosoftのロイヤリティ（「ロイヤリティ」）を支払うことに同意しました。 Redmond Corporationは、Googleが作成したオープンソースプロジェクトで使用されている多くの技術特許を保持しています。



ストールマン自身が、 「無料のAndroid」キャンペーンを求める記事を公​​開しました 。つまり、オペレーティングシステムのソースコードを公開します（そして、その作成者であるGoogleはこれを行いません）。







最終的には、オープンソースソフトウェアはエンドユーザーにとって無料の場合がありますが、企業向け製品や大量インストールの場合、事態はそれほど単純ではありません。 会社は、必要な製品の開発に参加して、その修正を一般的なリポジトリに送信できます-または（製品の「完了」プロセスがGNUライセンスを離れる場合）、フォークをサポートするために専用の開発チームを雇います。 ご想像のとおり、このパスは無料とはほとんど関係ありません。

フリーソフトウェアはより安全です

発見したように、フリーソフトウェア、フリー、およびオープンソースは3つのまったく異なるものなので、そのうちの1つはプロプライエタリ製品よりも安全である必要があるようです。 これは実際にはそうではありません。



通信省の文書は、閉鎖された製品には文書化されていない機会があるため、安全性が低いと述べています。

有名なメーカーの多くのプロプライエタリアプリケーションには、潜在的な脅威である文書化されていない機能が含まれています。

しかし、結局のところ、オープン（無料、無料）アプリケーションの多くには、ドキュメント化されていない機能も含まれています。 開発者は、常にプロジェクトの機能を適切に文書化する時間を持っているわけではありません（常にそうすることを望んでいません）。 さらに、文書化された多数の機能（ UserializeやBashなど ）は潜在的な脅威です。



回答が必要な別の質問は、「文書化されていない機能」とは何か、文書に記載されていないメニュー項目はこの定義に適合していますか？ 「 宣言されていない機会 」について話している場合、宣言のプロセスが必要です。 脆弱性が暗示されている場合、これはまったく異なるトピックです。



実際、コードのセキュリティに対する信頼を高めるには、単純なアルゴリズムに従うだけで十分です。

1. このセキュリティを担当する「極度の」人（内部または外部、たとえばソフトウェアメーカー）が必要です。
2. 責任者は適切なタスクを受け取る必要があります。
3. 必要な手段とツールを提供する必要があります！
4. 安全な開発（SDL）、構成、脆弱性管理を実装する必要があります。

この場合、「無料」、「無料」、「有料」、または「独自の」ソフトウェアで作業を行うかどうかはまったく重要ではありません。 公開されたソースコードの存在は、セキュリティプロセスを促進する場合があります（まだ無料ではありません）が、この事実は責任者を見つける助けにはなりません（時には妨げにさえなります）。 さらに、完全なオープン性は質問を無用にします：「誰がこの行を書いたのですか？」





RSAのバックドアの場合、会社が NSAを支払ったことが判明しました。つまり、犯人が見つかりました。 しかし、SSLパッケージのどこからHeartbleedの脆弱性が発生したのかはまだ不明です。



一方、フリーソフトウェアは、変化する条件に簡単に適応できます。 もちろん、ICSシステムのHMIに「閉じた非フリー」のWindowsをインストールすることは明らかなエラーであり、多くのシステムでCVE-2010-2568脆弱性 （これはStuxnetワームがいったん広まったとき）がまだ閉じられていなかったという事実につながりました。 「オープン」システムを使用すると、独自のパッチを開発できますが、そのためには費用のかかる開発チームが必要です。

国家がロシアのオープンソースを開発すべきか

通信省の文書からの別の抜粋では、フリーソフトウェアは国益に合っているという説が聞こえています。

第四に、オープンソースソフトウェアの使用は国益を考慮に入れています。 フリーソフトウェアの作成は開発者のグローバルコミュニティから切り離せないという事実にもかかわらず、それらの適応、実装、サポート、開発のためのサービスは通常、国営企業によって提供され、国家と社会にとってより有益です。

「GPLに違反している場合でも」オープンソースを「切り替える」-これは国の利益を正しく満たしていますが、何らかの理由でオープンソースソフトウェアではない独自の技術をゼロから作成することは、そのような利益を満たしません。



ロシアでは、ALT Linuxのように、すべてを正しく行い、オープンソースソフトウェアのすべてのライセンスと法律を綴る企業はほとんどありません。 全体として、「無料の国内ソフトウェアパッケージ」の開発はおそらく明るい仕事ですが、明らかに優先事項ではありません。



ここで、もう1つの人気トピックである「国内OS」の作成に戻りたいと思います。

オペレーティングシステムは必要ありません！

インポート置換の場合、独自のOSおよびオフィススイートを作成するのではなく、まったく異なる方向に注意を払う方がはるかに論理的です。 最終的な目標を持つものから始める必要があり、この「何か」の有効性を計算する機会がなければなりません。 オペレーティングシステムは明らかに「それ」ではありません。

デスクトップ

デスクトップは、その古風な性質にもかかわらず、3〜5年のリフレッシュサイクルで、企業部門のIT予算の深刻な「むさぼり者」であり続けます。 国家部門と関連企業がロシアの企業部門の重要な部分であることを考えると、このニッチのロシア製品への移転は非常に現実的です-あなたは強い意志のある決定のみが必要です。



「さて、あなたのWindows！」と読者は言うでしょう。 まったくない！ プロセッサを使用してデスクトップの作成を開始する必要があります。 さらに、私たちにはそれがあり、悪くはありません。 はい、「エルブラス」について話しています。



すでに独自のプロセッサで作業するプロセスでは、オペレーティングシステム、プログラミング言語、およびエコシステムの他の要素の作成に関する問題も解決する必要があります。 ソフトウェア製造業者が条件付きの「エルブラス」の下で書きたいと思うために、そのような製品が需要にあり、MCSTが十分な量の鉄を生産できることが必要です。



すでに述べた国有企業とその衛星は、最初のユーザーのバックボーンを形成できます。 ソフトウェアメーカー（同じALT Linux、またはJetBrains）が見込み顧客とユーザーベースを見た場合、Elbrusのバージョンを作成することを拒否しません（ところで、 PT Application Firewallをこのプロセッサに移植しています）-同時に「ちょうどLinux」との互換性他のプラットフォームが表示されます。

すべてクラウドで

多くの使い慣れたアプリケーションをクラウドに「移動」する傾向は否定できません。Excel、Word、および1Cはすでに存在しています。 プライベートな「オフィス」クラウドは、企業部門のデスクトップユーザーの90％のニーズをカバーします。 現時点では、このような製品はますます「インターネット」自体の一般的な基盤になりつつあります。 ブラウザは最も重要なデスクトップアプリケーションになり、OperaやYandex.Browserの例が示すほど作成は難しくありません。



誰もがChromiumに移動したように思えますが、それは何も悪いことではありません。 既存のプラットフォームを基盤とし、それに追加機能を追加し、サポートサイクルを提供すると、競争力のある製品が作成されます。 また、すでに並行して、必要に応じて独自のChromiumの作成を開始できます。

アイアンスカイ

もちろん、独自のクラウドを作成するには他のコンポーネントが必要であり、ここでの最初の問題は鉄の不足です（サーバープラットフォームで特に悲しい状況が発生しています）。 この分野では迅速な解決策を待つ必要はないため、初期段階では既存の解決策を使用しても問題はありません。



ネットワークハードウェアの場合、状況は徐々に改善されており、NAS分野ではRAIDIXが深刻なことを行っており、 T-Platformを割り引くことはできません。 ソフトウェアの状況ははるかに良好です-アプリケーションサーバーの信頼できる基盤として、Parallelsとnginxの仮想化のための優れたプラットフォームがあります。



Linter、Red、Databaseなどの製品はありますが、DBMSではすべてがスムーズではありません（ICTSのElbrusの作成者もOracleについて語っています）。 同時に、MS SQLとOracleを使用した移動は簡単であり、単に機能しないことを理解する必要があります。 ただし、これは、独自のエンタープライズDBMSを作成する必要がないことを意味するものではありません。少なくともRDBMSと特定の数のNoSQLプロジェクト（ドキュメントやグラフなど）が間違いなく損傷することはありません。 PostgreSQL、Hadoop、ElasticSearchをベースとしても、主なことはこれらの製品が使用され、それらのためにアプリケーションが作成されることです。

合計

もちろん、フリーソフトウェアは使用、適合、開発が可能であり、またそうあるべきです。 しかし、その無料の「認可された清潔さ」と安全性に関する論文は、批判に耐えられません。 「無料」と「安全」はおとぎ話に過ぎず、誰もが無料のチーズがあることを知っています。



現在の期間は、ロシアのIT業界にとって絶好の時期かもしれません。 輸入代替の場合、その分野の「国家的チャンピオン」に賭け、緊密な協力で働き、突破または単純に必要なプロジェクトを強制し、企業に「長いお金」を提供し、管理と透明性を確保する価値があります-これはまさに国家ができることです。



作成者：個人ブログ（ 1、2 ）に基づくSergey Gordeychik