Репозиторий открытого кода: кто будет отвечать за хранилище проверенных решений
Фото: пресс-служба T1
Парадокс российского IT-рынка: решений, созданных на основе технологий открытого кода, становится все больше, а общей системы прозрачной проверки исходных библиотек — как не было, так и нет. Отечественные разработчики вынуждены самостоятельно проверять каждый компонент, хотя чаще всего используют одни и те же элементы. Такие проверки необходимы с точки зрения кибербезопасности, но влекут масштабные затраты человеческих и финансовых ресурсов, для малых и средних предприятий почти недоступные. Решением могло бы стать создание доверенного репозитория, где хранился бы валидированный программный код. На каких условиях может быть создано такое хранилище, кто его будет наполнять и как игроки ИТ-рынка смогут использовать, обсуждали на сессии IT-холдинга Т1 «Открытый код и доверенный репозиторий» в рамках Kazan Digital Week.
«Большинство компаний используют одни и те же библиотеки, но вынуждены поодиночке проводить дорогой и длительный аудит каждой из них. Это долго и дорого, — говорит заместитель руководителя технологического блока, старший вице-президент Банка ВТБ Сергей Безбогов. — Можно было бы признать результаты проверки, выполненной одной структурой, валидными для отрасли». Первый шаг к этому, по его мнению, могут сделать лидеры рынка, для начала договорившись между собой.
Дмитрий Харитонов, генеральный директор IT-холдинга Т1, добавляет: «Важно, чтобы требованиям безопасности соответствовали и код, и среда сборки, чтобы в итоге мы получали именно ту версию, которую тестировали и проверяли». Он убежден: без прозрачности всех этапов и независимой экспертизы доверие к продукту невозможно.
Директор по цифровым технологиям «Росатома» Евгений Абакумов предлагает не только централизовать такие проверки, но и выкладывать в общий доступ доработки, сделанные бизнесом: «Если мы относимся к такому программному "озеру" как к среде, где любой модуль проходит понятную верификацию и выкладывается по единым стандартам, — это даст серьезный эффект для всего рынка».
Варианты решения и формирование будущих подходов
Среди озвученных решений — развитие прямых стандартов для доверенных репозиториев, признание корпоративных площадок-операторов (например, Gitverse, Yandex, Astra), расширение сервисов вокруг хранения кода. «Сегодня сервисы монетизируются не на хранении, а на инструментах командной работы, инструментов CI/CD, AI-ассистентах и экспертизе», — констатировали участники рынка.
Важным шагом называют не создание государственного «мегарепозитория», а договоренность о прозрачных правилах и стандартах верификации, которые могут быть приняты всеми ключевыми площадками — и подтверждаться цифровой сертификацией.
Проблема справедливости и лицензирования для open source остается ключевой: если вклад все еще не прозрачен, есть риск разрушения доверия в сообществе. Как подчеркивает заместитель генерального директора, директор департамента «Сбербанк-Технологии» Антон Атоян, «в нашем случае данная задача была эффективно решена за счет участия регулятора: благодаря его вовлеченности обеспечивается прозрачность вклада каждого участника». Однако на рынке в целом «этот вызов по-прежнему остается актуальным для отрасли и требует отдельной проработки».
По словам руководителя Центра ИСП РАН Алексея Хорошилова, уже есть не один успешный проект с открытым исходным кодом, признанный и востребованный как в России, так и за рубежом. Он замечает, что при выходе на иностранные рынки возможны «маркетинговые» сложности, ассоциированные с российским происхождением. Тем не менее, механизмы легального распространения всех open-source продуктов работают.
Евгений Абакумов уверен: государственное регулирование должно ограничиваться вопросами безопасности, а стандарты доверия и качества должны определять профессиональные сообщества. По его мнению, «слишком жесткая унификация не всегда учитывает специфику бизнеса», а продвижение российских open source-решений возможно только через развитие доверия как внутри страны, так и на международном уровне.
Кто может быть оператором доверенного репозитория
Эксперты сходятся во мнении: у оператора доверенного репозитория должна быть собственная техническая экспертиза, опыт управления развитием проектов и долгосрочные гарантийные обязательства для пользователей. Необходима прозрачная процедура отбора, учитывающего, что оператор — это не только «хранитель», но и технологический лидер, интегратор комьюнити, который обеспечивает ответственность и устойчивость продукта. «Необходимо не только протестировать код и получить сертификат ФСТЭК, а полноценно управлять рабочей веткой проекта — вносить изменения, исправлять уязвимости, поддерживать развитие», — подчеркнул Дмитрий Харитонов.
Участники сессии вывели формулу честного репозитория:
код открыт и прозрачен для проверки;
проверяющий аккредитован и вызывает доверие;
соблюдаются юридическая чистота и стандарты распространения;
есть ответственный за долгосрочное сопровождение;
все это подтверждено профессиональным или профильным сообществом.
Все это возможно только при тесной кооперации бизнеса, операторов площадок и регуляторов. Без такого диалога и совместной работы добиться зрелости цифровой инфраструктуры практически невозможно.
Еще по теме
