Оперативные новости и аналитические материалы мира высоких технологий
Статья

СЭД на СПО: реально ли это?

Документооборот Свободное ПО

Владимир Путин подписал "План перехода федеральных органов власти и федеральных бюджетных учреждений на использование свободного программного обеспечения" 17 декабря 2010 г. По этому поводу тогда в стане сторонников СПО царила почти полная эйфория. Однако прошло два года, а никаких существенных изменений не наблюдается. Что думают по этому поводу эксперты из отрасли документооборота? Есть ли будущее у СЭД на базе СПО?

По мнению эксперта, российское правительство руководствуется примером других государств, где СПО - это национальная идея, где в школах изучаются СПО- продукты, где в государственном секторе создаются "специальные условия" при которых не использовать СПО невозможно, где финансируется создание национальных СПО-решений.

К сожалению, в нашей стране поддержка СПО сведена практически к нулю, если сравнить многомиллиардный проект оснащения камерами избирательных участков в 2012 г. и 5 млн, выделенные на проект по созданию национальной программной платформы в 2011 году.

Г-н Криковцев также называет одну из причин, почему не происходит переход органов власти на СПО: "Можно констатировать тот факт, что хотя было принято распоряжение правительства №2299-p от 17.12.2010 относительно использования свободного программного обеспечения, но на уровне министерств и ведомств это распоряжение трактуется как документ, который не имеет нормативного характера, а содержит лишь перечень мероприятий".

Бытует мнение, что решения на СПО легче сертифицировать по требованиям безопасности, и это было одной из главных причин возникновения тренда по переводу органов власти на свободное программное обеспечение. С другой стороны, ФСБ признает, что у них нет физической возможности досконально изучать исходные коды всех программных продуктов, требующих сертификации. Какова же реальная ситуация с безопасностью СПО – и СЭД в частности?

Безопасность СПО – миф?

Открытость исходных кодов – это еще не гарантия безопасности продукта, утверждает Наталья Храмцовская: "Понятно, что если код решения открыт и – что очень важно – решение популярно и не менее широко используется, чем альтернативные проприетарные решения, то его слабости в плане безопасности выявить и устранить несколько проще. Если же это СПО-решение малоизвестно, то публичная открытость его кода реально мало что даёт.


Интерес к СПО и, в частности, к СЭД хотя в целом и снизился, но не исчез совсем

Многие (если не большинство) разработчики СЭД, вне зависимости от используемой ими бизнес-модели, сами не разрабатывают модули обеспечения безопасности и опираются на существующие решения третьих сторон. Исходя из этого можно ожидать, что уровень безопасности СЭД – как СПО, так и проприетарных, – будет примерно соответствовать уровню безопасности, скажем, ECM-систем при использовании в конкретной операционной системе".

Олег Бейлезон считает практику поиска уязвимостей путем изучения иходных кодов устаревшей, но признает, что в нынешней ситуации с формальных позиций СПО имеет преимущество: "Доскональное изучение исходных кодов ПО в наше время, когда программы насчитывают миллионы строк исходного кода и каждый месяц выходят новые релизы, после которых код снова надо пересматривать, я считаю неким анахронизмом, на который ФСБ обрекла себя добровольно. В любом случае, задача раскрытия исходных кодов в случае СПО является рутинной, в то время как проприетарные коды разработчики отдают на экспертизу крайне неохотно".

По мнению Ивана Криковцева, СПО легче пройти все установленные процедуры и получить заветный сертификат, чем любому проприетарному ПО: "СПО позволяет проводить полноценные процедуры сертификации без обращения к разработчику продукта, так как такой вендор предоставляет свои исходные коды в открытом доступе для изучения и модификации. Дополнительно к исходному коду предоставляется техническая документация, раскрывающая принципы архитектуры продукта, основные протоколы и стандарты взаимодействия. Таким образом не создаются формальные и технические препятствия для сертификации СПО".

Как известно, в жизни черно-белая логика неэффективна. Это абсолютно применимо и в данном случае, ведь для создания законченных корпоративных решений по управлению документами и деловыми процессами системные интеграторы часто используют в одном проекте коммерческое и свободное ПО, чтобы добиться поставленных заказчиком целей. Существует ли четкая граница между свободным и проприетарным ПО, если мы говорим о сложных решениях?

"Между СПО и проприетарным ПО нет непреодолимой пропасти, поэтому вполне возможны "промежуточные" бизнес-модели, которые трудно будет однозначно отнести к той или иной группе. В принципе, в точной классификации и нет особой необходимости – если, конечно, государство не станет давать какие-либо преференции именно поставщикам СПО, и тогда придётся искать те формальные черты, по которым можно однозначно отнести решение к СПО", - говорит Наталья Храмцовская.

Что касается импортного СПО, то его модель лицензирования имеет некоторые ограничения. Комментирует Иван Криковцев: "СПО решения СЭД в России не поставляются под коммерческой лицензией, внедрение таких продуктов требует участия разработчиков".

Олег Бейлезон говорит об опыте своей компании: "Поставка любого ПО может сопровождаться работами по адаптации и/или внедрению. Преимущество СПО над проприетарными продуктами здесь в том, что коммерческое ПО, как правило, имеет закрытый код и принципиально не дает возможности клиенту осуществлять доработку продукта своими силами.

Однако есть определения свободного ПО, согласно которым взимание платы за лицензию противоречит самим принципам свободных лицензий. Тем не менее ряд моделей распространения вполне может допускать коммерциализацию лицензий как таковых – например, в случае сращивания с проприетарными решениями.

Наша текущая позиция – не взимать плату за нашу версию продукта на СПО, зарабатывая на внедрении и адаптации решения, а также на его сопровождении и технической поддержке".

Станислав Макаров / CNews