|
|
Обзор подготовлен
За рубежом компании все чаще отдают предпочтение ПО с открытым кодом как более надежной и безопасной альтернативе проприетарному ПО. Между тем, на российском рынке практически нет решений с открытым кодом в сфере ИБ. Эксперты считают это временным явлением, отражающим текущий уровень развития и масштаба российского сектора разработки ПО в целом.
16 октября 2009 года Министерство обороны США издало Меморандум по вопросам использования ПО с открытым кодом, где утверждается, что именно такое ПО предпочтительно для министерства, так как позволяет более быстро развивать и адаптировать программное обеспечение в ответ на все новые угрозы и постоянно изменяющиеся требования. Шестистраничный документ американского оборонного ведомства вызвал большой резонанс в мировом ИТ-сообществе, а факт готовности американских военных к масштабному переходу на Open Source был воспринят как сигнал о достаточно высоком уровне надежности и безопасности таких решений.
Сегодня в ИТ-сообществе уже сложилось понимание, что сама по себе модель разработки ПО мало говорит об уровне его безопасности. Программы с открытым кодом бывают качественными и плохими – ровно так же, как это обстоит с проприетарным ПО. Вместе с тем, согласно недавнему исследованию Accenture, американские и британские компании все чаще выбирают ПО с открытым кодом не из-за его более низкой цены, а по причине более высокого качества, надежности и безопасности.
Программы с открытым кодом традиционно хорошо представлены в сегменте инструментального ПО – то есть такого, которое рассчитано не столько на конечных пользователей, сколько на квалифицированных администраторов и разработчиков. К числу таких программ можно отнести, например, пакет iptables, позволяющий настраивать правила фильтрации IP-пакетов на уровне ядра Linux, приложение openssh, являющееся стандартом де-факто в области защищенного удаленного доступа в UNIX-системах, библиотеку OpenSSL, чрезвычайно широко используемую для защищенных удаленных соединений.
В некоторых отраслях Open Source-инструменты добились статуса лидеров рынка. Это можно сказать о Snort – стандарте де-факто в сфере обнаружения и предотвращения сетевых вторжений. Пакет впервые был опубликован в 1998 году, и сегодня его разработкой занимается компанией Sourcefire, которую основал создатель Snort Мартин Рэш (Martin Roesch). Snort осуществляет анализ и журналирование сетевого трафика в IP-сетях в режиме реального времени, позволяя оперативно обнаруживать попытки несанкционированного доступа и информационных атак. Система может быть установлена как на UNIX-системах, так и на Windows.
В 2007 году компания Sourcefire осуществила выход на рынок антивирусного ПО, приобретя коллектив разработчиков ClamAV. Однако антивирусное ПО с открытым кодом, такое как ClamAV, привлекает прежде всего тех пользователей, которые не имеют возможности платить за услуги по своевременному обновлению антивирусных баз данных – в итоге в части рейтингов ClamAV существенно уступает проприетарным аналогам.
Общая черта большинства решений с открытым кодом в сфере информационной безопасности заключается в том, что их установка, настройка и развертывание требуют специальной компетенции. Это не продукты для конечного пользователя (не всегда готового разбираться в технической стороне дела), а скорее, для компетентных администраторов и интеграторов.
Собственно, высокий порог вхождения во многом является залогом существования для компаний, поддерживающих соответствующие проекты на коммерческой основе. Так, Sourcefire создает продукты корпоративного класса и предлагает услуги на базе Snort. В то же время, спам-фильтр с открытым кодом SpamAssassin очень часто можно встретить "внутри" решений от других поставщиков, среди которых можно назвать Barracuda Networks и McAfee.
Коммерческая поддержка и более дорогие "корпоративные версии" с закрытым кодом, созданные на базе популярных открытых решений, имеют важнейшее значение для жизнеспособности Open Source-решений в области безопасности. С одной стороны, они позволяют разработчикам профинансировать свою работу, с другой – позволяют компаниям заручиться гарантией коммерческого поставщика в том, что установленный продукт действительно будет надежно работать.
В России получить коммерческие услуги по поддержке для продуктов с открытым кодом в сфере безопасности или специализированные корпоративные версии, адаптированные для корпоративных пользователей, особенно проблематично. По сути, на российском рынке коммерческие предложения в области Open Source-безопасности отсутствуют. Александр Песляк, основатель проекта Openwall и ведущий разработчик защищенного дистрибутива Openwall GNU/*/Linux, считает, что "не только в России, а в мире в целом спрос именно на безопасность в чистом виде – низкий. Есть спрос на решения, которые еще и безопасны (это небольшой плюс при сравнении с другими). Этим мы и занимаемся. Причины этого слабо связаны именно с ИБ. Скорее, они связаны с нашим стилем работы".
Александр Анисимов, руководитель отдела разработки систем информационной безопасности компании Positive Technologies, убежден, что отсутствие качественных российских решений в сфере ИБ с открытым кодом – явление временное: “Я думаю, эта ситуация – это отражение текущей “зрелости” и масштаба российского рынка разработки ПО в целом. Возьмем, например, рейтинг CNews 100 крупнейших ИТ-компаний России и посмотрим, сколько коммерчески успешных компаний по производству ПО вошли в него? Совсем немного. А разработчиков программного обеспечения в области ИБ? Единицы. После этого становится ясно, что такой низкий показатель … – это результат общей картины на всем рынке создания российского ПО”.
Пакет программ WebAppTools от Positive Technologies опубликован на условиях LGPL
Источник: Positive Technologies, 2010
Примечательно, что недавно Positive Technologies сама опубликовала компонент с открытым кодом. Речь идет о комплекте ПО WebAppTools, предназначенном для анализа уровня безопасности веб-серверов. “Это решение позволило нам свободно интегрировать и использовать уже существующие и хорошо зарекомендовавшие себя открытые стандарты, библиотеки и другие открытые проекты, – говорит Александр Анисимов. – Мы привлекаем к проекту все большее количество специалистов, и при этом мы уже сейчас оказываем и готовы продолжать в дальнейшем оказывать им всяческую поддержку”.
Но по мнению Александра Песляка, есть и другие причины, по которым российским специалистам, обладающим компетенцией одновременно в сфере разработки ПО с открытым кодом и в сфере информационной безопасности, трудно найти заказчиков у себя в стране. К этим факторам относятся объем и условия оплаты, готовность заказчиков к ведению проекта на удаленной основе. К тому же, за рубежом легче найти проекты, которые представляли бы интерес для разрабочтиков Openwall: "Должно быть пересечение интересов и пожеланий заказчика и исполнителя, а это встречается не часто", – резюмирует Александр Песляк.
Наконец, еще одна проблема, по которой решения с открытым кодом в сфере безопасности не находят широкого признания у российских пользователей, заключается в отсутствии у таких программ обязательных сертификатов: "Есть спрос на "формальную безопасность" (сертификация и тому подобное), но мы туда не лезем. С Open Source это пересекается слабо", – замечает лидер проекта Openwall. Очевидно, что некоммерческие проекты или западные компании, осуществляющие разработку ПО с открытым кодом в сфере ИБ, не обладают ресурсами для выполнения формальностей, необходимых для получения соответствующих сертификатов.
Однако нынешняя политика российского правительства дает основания надеяться, что в будущем количество сертифицированных решений с открытым кодом возрастет: "Будет появляться все больше и больше успешных продуктов и с открытым кодом и, в частности, в области ИБ. Я думаю, этот процесс в России значительно ускорится благодаря принятию правительством РФ решений по обеспечению национальной безопасности в сфере ИТ на основе внедрения открытого и свободного ПО в государственных и бюджетных организациях", – прогнозирует Александр Анисимов.
Егор Гребнев / CNews Analytics