Журнал "Information Security/ Информационная безопасность" #3, 2021

– Большое количество россий- ских компаний заинтересовано в регистрации в реестре отече- ственного ПО и коммерциализа- ции своих разработок. Какую практическую измеримую пользу приносят SCA при решении этих задач и почему вы подчеркиваете важность лицензионной чистоты? – Надеюсь, про необходимость соблю- дения авторского права объяснять не нужно, не говоря уже о проявлении уваже- ния к разработчикам программного обес- печения и результатам их труда. С появле- нием реестра отечественного программ- ного обеспечения в 2015 г. культура соблю- дения авторского права в России в ИКТ- секторе действительно стала развиваться. Если 10–15 лет назад разработчики при- нимали решение об использовании сто- ронних, в том числе и Open Source, компо- нентов по личным моральным-этическим соображениям, то сегодня практика соблю- дения лицензий на вспомогательные ком- поненты выходит на новый уровень. Поче- му? Здесь есть несколько причин: 1. Принимающая сторона стала сле- дить за тем, что же она принимает. 2. Цифровое пиратство как модный тренд постепенно уходит из жизни, а на смену ему приходит другое модное поня- тие – осознанное потребление. 3. Появилась судебная практика, то есть "зарубежные лицензии", как их раньше называли, получили юридиче- ский статус и подобные случаи уже рас- сматриваются в арбитражных судах, пусть и с очень слабой подготовкой судебных экспертов. В своих разъяснениях к подаче заявки в реестр Минцифры явно указывает на необходимость отслеживания примене- ния сторонних компонентов (авторских произведений) в составе заявляемого программного обеспечения. Прямым текстом указывается запрет использо- вания лицензий Copyleft-группы (GNU GPL, MPL и иных), которые являются свободными лицензиями, подразумеваю- щими, что создаваемый продукт требует лицензирования под той же лицензией и не предполагает коммерческого исполь- зования. Уже только это требование вызывает проблемы у компаний, фор- мирующих заявления. У продуктов сотни OSS-заимствований, чтобы проверить каждый на лицензию, потребуется время, а если найдется компонента с подобной лицензией, то время уйдет еще и на то, чтобы ее заменить на менее свободный, но более открытый аналог. И это только начало, потому что не все лицензии сopyright-группы одинаково полезны. Есть такое понятие, как лицен- зионная совместимость (License Compli- ance), о которой люди, осуществляющие подготовку для внесения продукта в реестр, не задумываются или просто не знают. Ее суть заключается в том, что не все лицензии программного обес- печения можно применять в едином про- изведении (вашем программном про- дукте), и тонкости лицензий может выявить либо опытный юрист в этой области, либо специализированное про- граммное обеспечение. Но и здесь не стоит расслабляться, так как сторонние компоненты очень часто зависят от других сторонних компонент, в то же время получается, что ваш продукт состоит и из них. Такие элементы назы- ваются транзитивными зависимостями. Конечно, они тоже обладают своими лицензиями и проблемами совместимости. В нашей практике аудита регулярно выявляются популярные компоненты Open Source с "хорошей" лицензией, позволяю- щей коммерческое распространение, но после изучения транзитивных зависимо- стей выясняется, что эта "хорошая" лицен- зия установлена авторами проекта непра- вомерно и, следовательно, ваше приме- нение такого компонента в проекте не снимает с вас ответственности. – На данный момент Минцифры не проверяет ни лицензионную совместимость, ни транзитивные зависимости. Зачем об этом заду- мываться сегодня? – Минцифры сейчас не проверяет тран- зитивные зависимости, и, возможно, на данном этапе это хорошо. Ко всему нужно приходить постепенно. Давайте на секунду представим масштабы изме- нений, если сейчас российский ИКТ-сег- мент начнет заниматься вопросом лицен- зионной чистоты в полной мере. Ведь культура пиратства у многих в крови, так что боюсь, что накопленный таким обра- зом технический долг из сторонних ком- понентов уже превышает не один годовой объем сегмента в стране. Важно то, что о соблюдении авторского права начали всерьез задумываться и Министерство играет определяющую роль в этом вопро- се. Уже сегодня необходимо закладывать правильную основу программных про- дуктов – какие компоненты будут вклю- чаться и как должны быть выстроены процессы разработки для дальнейшего беспрепятственного развития. 66 • ТЕХНОЛОГИИ Топ-3 вопросов про SCA от тех, кто про него уже слышал о итогам участия в Tech Week в июне 2021 г. компания Web Control получила много вопросов про новое российское SCA-решение CodeScoring от компании Profiscope, но краткий формат общения на выставке не позволил раскрыть все детали, и мы выполняем свое обещание ответить на вопросы в отдельной публикации. Директор по развитию Web Control Дарья Орешкина собрала вопросы и задала их основателю решения CodeScoring Алексею Смирнову. П Алексей Смирнов, CEO компании Profiscope Дарья Орешкина, директор по развитию компании Web Control