16 октября 2009 года Министерство обороны США издало Меморандум по вопросам использования ПО с открытым кодом, где утверждается, что данный тип ПО предпочтителен для министерства, так как позволяет более быстро развивать и адаптировать программное обеспечение в ответ на все новые угрозы и постоянно изменяющиеся требования. Шестистраничный документ американского оборонного ведомства вызвал большой резонанс в мировом ИТ-сообществе, а факт готовности американских военных к масштабному восприятию Open Source был воспринят как сигнал о достаточно высоком уровне надежности и безопасности решений с открытым кодом.

Сегодня в ИТ-сообществе уже сложилось понимание, что сама по себе модель разработки ПО мало говорит об уровне его безопасности. Программы с открытым кодом бывают качественными и плохими - так же, как это обстоит с проприетарным ПО. Вместе с тем, согласно недавнему исследованию Accenture, американские и британские компании все чаще выбирают ПО с открытым кодом не из-за его более низкой цены, а по причине более высокого качества, надежности и безопасности.

В каких задачах открытый код эффективен?

Программы с открытым кодом традиционно хорошо представлены в сегменте инструментального ПО - то есть, такого программного обеспечения, которое рассчитано не столько на конечных пользователей, сколько на квалифицированных администраторов и разработчиков. К числу таких программ можно отнести, например, пакет iptables, позволяющий настраивать правила фильтрации IP-пакетов на уровне ядра Linux, приложение openssh, являющееся стандартом де-факто в области защищенного удаленного доступа в UNIX-системах, библиотеку OpenSSL, чрезвычайно широко используемую для защищенных удаленных соединений.

В некоторых отраслях Open Source-инструменты добились положения лидеров рынка. Это можно сказать о Snort - стандарте де-факто в сфере обнаружения и предотвращения сетевых вторжений. Пакет впервые был опубликован в 1998 году, и сегодня его разработкой занимается компанией Sourcefire, которую основал создатель Snort Мартин Рэш. Snort осуществляет анализ и журналирование сетевого трафика в IP-сетях в режиме реального времени и позволяет оперативно обнаруживать попытки несанкционированного доступа и информационных атак. Система может быть установлена как на UNIX-системах, так и на Windows.

В 2007 году компания Sourcefire осуществила выход на рынок антивирусного ПО, приобретя коллектив разработчиков ClamAV. Однако антивирусное ПО с открытым кодом, такое как ClamAV, привлекает прежде всего тех пользователей, которые не имеют возможности платить за услуги по своевременному обновлению антивирусных баз данных - в итоге в части рейтингов ClamAV существенно уступает проприетарным аналогам.

Игрушки для профессионалов

Общая черта большинства решений с открытым кодом в сфере информационной безопасности заключается в том, что их установка, настройка и развертывание требуют специальной компетенции. Это не продукты для конечного пользователя, не готового разбираться в технической стороне дела, а скорее, для компетентных администраторов и интеграторов.

Собственно, высокий порог вхождения во многом является залогом существования для компаний, поддерживающих соответствующие проекты на коммерческой основе. Так, Sourcefire создает продукты корпоративного класса и предлагает услуги на базе Snort. В то же время, спам-фильтр с открытым кодом SpamAssassin очень часто можно встретить «внутри» решений от других поставщиков, среди которых можно назвать Barracuda Networks и McAfee.

Коммерческая поддержка и более дорогие «корпоративные версии» с закрытым кодом, созданные на базе популярных открытых решений, имеют важнейшее значение для жизнеспособности Open Source-решений в области безопасности. С одной стороны, они позволяют разработчикам профинансировать свою работу, с другой - они позволяют компаниям заручиться гарантией коммерческого поставщика в том, что установленный продукт действительно будет надежно работать.

Что мешает появлению российских решений?

В России получить коммерческие услуги по поддержке для продуктов с открытым кодом в сфере безопасности или специализированные корпоративные версии, адаптированные для корпоративных пользователей, особенно проблематично. По сути, на российском рынке коммерческие предложения в области Open Source-безопасности отсутствуют. Вот как комментирует эту проблему Александр Песляк, основатель проекта Openwall, и ведущий разработчик защищенного дистрибутива Openwall GNU/*/Linux: «Я бы сказал, что не только в России, а в мире в целом спрос именно на безопасность в чистом виде - низкий. Есть спрос на решения, которые еще и безопасны (это небольшой плюс при сравнении с другими). Этим мы и занимаемся. Причины этого слабо связаны именно с ИБ. Скорее, они связаны с нашим стилем работы», - отмечает Александр Песляк.

Александр Анисимов, руководитель отдела разработки систем информационной безопасности компании Positive Technologies, убежден, что отсутствие качественных российских решений в сфере ИБ с открытым кодом - явление временное: «Я думаю, эта ситуация - это отражение текущей «зрелости» и масштаба российского рынка разработки ПО в целом. Возьмем, например, рейтинг CNews 100 крупнейших ИТ-компаний России и посмотрим, сколько коммерчески успешных компаний по производству ПО вошли в него? Совсем немного. А разработчиков программного обеспечения в области ИБ? Единицы. После этого становится ясно, что такой низкий показатель … - это результат общей картины на всем рынке создания российского ПО».

Примечательно, что недавно Positive Technologies сама опубликовала компонент с открытым кодом. Речь идет о комплекте ПО WebAppTools, предназначенном для анализа уровня безопасности веб-серверов. «Это решение позволило нам свободно интегрировать и использовать уже существующие и хорошо зарекомендовавшие себя открытые стандарты, библиотеки и другие открытые проекты, - говорит Александр Анисимов. - Мы привлекаем к проекту все большее количество специалистов, и при этом мы уже сейчас оказываем и готовы продолжать в дальнейшем оказывать им всяческую поддержку».

Но Александр Песляк считает, что есть и другие причины, по которым российским специалистам, обладающим компетенцией одновременно в сфере разработки ПО с открытым кодом и в сфере информационной безопасности, трудно найти заказчиков у себя в стране. К этим факторам относятся объем и условия оплаты, готовность заказчиков к ведению проекта на удаленной основе. К тому же, за рубежом легче найти проекты, которые представляли бы интерес для разработчиков Openwall: «Должно быть пересечение интересов и пожеланий заказчика и исполнителя, а это встречается не часто,» - резюмирует Александр Песляк.

Наконец, еще одна проблема, по которой решения с открытым кодом в сфере безопасности не находят широкого признания у российских пользователей, заключается в отсутствии у таких программ обязательных сертификатов: «Есть спрос на «формальную безопасность» (сертификация и тому подобное), но мы туда не лезем. С Open Source это пересекается слабо», - замечает лидер проекта Openwall. Очевидно, что некоммерческие проекты или западные компании, осуществляющие разработку ПО с открытым кодом в сфере ИБ, не обладают ресурсами для выполнения формальностей, необходимых для получения соответствующих сертификатов.

Однако нынешняя политика российского правительства дает основания надеяться, что в будущем количество сертифицированных решений с открытым кодом возрастет: «Будет появляться все больше и больше успешных продуктов и с открытым кодом и, в частности, в области ИБ. Я думаю, этот процесс в России значительно ускорится благодаря принятию правительством РФ решений по обеспечению национальной безопасности в сфере ИТ на основе внедрения открытого и свободного ПО в государственных и бюджетных организациях», - прогнозирует Александр Анисимов.

Дизайн и поддержка: Silicon Taiga

Обратиться по техническим вопросам