Спонсируемая государством награда за обнаружение ошибок стала свежей новостью, поскольку она показывает, что среди бюрократов есть технически подкованные люди, которые понимают истинную ценность программного обеспечения OSS для общества и, как таковое, влияние, когда его безопасность нарушается.
Эта инициатива ЕС является частью проекта аудита свободного и открытого программного обеспечения (FOSSA), благодаря Джулии Реда, депутату Европарламента от пиратской партии ЕС, которая начала проект, думая, что достаточно после обнаружения серьезных уязвимостей в ключевых компонентах инфраструктуры, таких как OpenSSL. Это побудило ее привлечь Комиссию ЕС к содействию безопасности Интернета.
Удивительно думать, что OpenSSL Software Foundation, которая отвечает за поддержку библиотеки OpenSSL, краеугольного камня безопасных транзакций в Интернете, используемых миллионами веб-сайтов и организаций, получает всего 2000 долларов пожертвований в год и имеет только ОДИН полный взнос. -время сотрудник, работающий над библиотекой. Все это было обнаружено после обнаружения ошибки Heartbleed, что, наконец, потрясло воду и побудило крупные отраслевые имена поддержать фонд надлежащим финансированием.
Сказав это, разве правительства не должны вмешиваться и защищать общественность, когда частный сектор не может? Это философия, лежащая в основе этой новой инициативы.
Ярким примером того, насколько глубоко OSS проникли в правительства, является Болгария, чье государственное агентство электронного правительства SEGA собирается «заключить контракт на создание национального репозитория с открытым исходным кодом. Репозиторий, который будет основан на Git, будет содержать все исходные коды. программное обеспечение, недавно разработанное государственными службами Болгарии или для них ». Все будет выпущено под новым видом лицензии, Общественной лицензией Европейского Союза (EUPL).
Но проверка кода, написанного государством, и проверка сторонних приложений OSS, используемых в государственных учреждениях, — это разные вещи. Неясно, каковы критерии для включения приложения в список вознаграждений за ошибки (вероятно, OSS наиболее широко используется в правительствах ЕС или Комиссии ЕС), но список разнообразен и включает в себя сочетание настольных приложений для конечных пользователей, таких как Filezilla, Notepad ++. и 7-zip, а также инструменты разработки, бэкенды и фреймворки, такие как Drupal, PHP Symfony, платформа интеграции WSO2, а также библиотеки, такие как glibc. Говоря о коде с написанием состояний, библиотека с открытым исходным кодом Digital Signature Services (DSS) также включен в список.
Это разнообразие свидетельствует о том, что безопасность настольных приложений считается наравне с безопасностью серверных приложений. В некоторых случаях это может быть даже более опасно, потому что настольные приложения потребляются в массовом порядке, и когда они используются, это не просто какая-то расплывчатая хакерская атака в Интернете, приводящая к утечке учетных данных и личной информации, но и отказ от полного контроля над ними. ПК пользователей, следовательно, их полноценной цифровой жизни.
Примером этого является недавно обнаруженная уязвимость в одном из самых популярных приложений OSS, 7-zip, которая допускает выполнение произвольного кода, что может привести к разрешению:
«злоумышленник для установки программ; просмотра, изменения или удаления данных; или создания новых учетных записей с полными правами пользователя».
Другими словами, ему просто нужен сфальсифицированный сжатый архив, чтобы нанести ущерб. Давайте даже не будем рассматривать степень ущерба, который может нанести приложение, выполняемое локально, принимая во внимание пресловутые, хотя и вполне уместные, примеры апплетов Adobe Flash и Java …
Конечно, обнаружение ошибки, сообщение о ней и создание патча ничего не значат, если пользователи не обновят исправленную версию сразу после ее выхода. Поэтому такие усилия должны идти рука об руку с проведением государственной политики обновления в масштабах всей страны.
Будем надеяться, что у этой инициативы будет будущее, поддерживаемое постоянным и щедрым государственным финансированием. Это укрепило бы точку зрения Джулии Реды о том, что, несмотря на то, что правительствам не нужно платить за использование OSS, они должны финансировать исследования, чтобы сделать его более безопасным для использования общественностью.
Сравните это с тем, как популярное приложение TrueCrypt, используемое миллионами людей в правительстве и дома, вынуждено выпрашивать деньги через краудфандинг для проведения собственных аудитов безопасности. В конечном итоге правительство Германии провело аудит, но это было разовое мероприятие. Требуется нечто более организованное.
В схеме, которую продвигает Джулия Реда, аудит критически важных приложений OSS должен финансироваться государством, чтобы служить общему благу. Другими словами, безопасность программного обеспечения как гражданское право.