Агентство по кибербезопасности и безопасности инфраструктуры США (Cybersecurity and Infrastructure Security Agency, CISA), управление национального директора по кибербезопасности (Office of the National Cyber Director) и ряд других агентств озаботились безопасностью программного обеспечения (ПО) с открытым исходным кодом (open source, в русском языке употребляется аббревиатура «СПО», «свободное программное обеспечение»), опубликовав в четверг на сайте CISA соответствующий информационный запрос, адресованный членам open source-сообщества.

Американские власти попросили разработчиков и ИБ-специалистов выделить приоритетные области, которые нуждаются в поддержке государства на предмет информационной безопасности СПО.

«Полностью осознать пользу СПО можно только тогда, когда все, включая федеральное правительство, участвуют в поддержке экосистемы, – отмечено в блоге высокопоставленного представителя CISA. – Федеральное правительство — один из самых крупных пользователей ПО с открытым исходным кодом, и мы должны выполнить свою часть работы, чтобы помочь его обезопасить».

В представлении CISA создание безопасного открытого кода и регулярный анализ уже существующего для СПО «является нормой, а не дополнительным бременем». «Производители ПО, потребляющие СПО, должны вносить свой вклад в безопасность программного обеспечения, от которого они зависят», – заявляет представитель CISA.

CISA анонсировала публикацию собственной стратегии в области безопасности ПО с открытым исходным кодом.

Напомним, в России с 1 ноября 2022 стартовал эксперимент по предоставлению права использования программ для электронных вычислительных машин, алгоритмов, баз данных и документации к ним, в том числе исключительное право на которые принадлежит РФ, на условиях открытой лицензии и созданию условий для использования открытого программного обеспечения (ПО).

Предусматривается создание национального репозитория ПО с открытым кодом (создание «российского GitHub’a» (по аналогии с китайским Gitee), открытого для всех участников вне зависимости от их территориальной принадлежности – ред.).

Утверждения CISA о якобы органической присущей, чуть ли не врождённой заботе СПО-сообщества о безопасности действительности не соответствуют. В первую очередь это относится к тем СПО-проектам, которые курируют крупные компании, лучший пример такого рода – операционная система Android от Google.

См. также: Корпоративная мобильность на Android: троянский конь для критической информационной инфраструктуры >>>

После февраля 2022 имелись случаи дискриминации разработчиков из России, им без объяснения причин отказывали в сотрудничестве.

См. также:

• Об ограничениях на доступ к открытым исходным кодам для программистов из РФ – эксперты >>>
• В чем риски перевода крупной организации на опенсорс >>>