Популярное
Свежее
Моя лента
Сообщения
Рейтинг
Курсы
Темы
Маркетинг
Сервисы
AI
Деньги
Личный опыт
Инвестиции
Карьера
Право
Путешествия
Мнения
Показать все
vc.ru
О проекте
Правила
Реклама
Приложения
Гузель Карцева
Право

Open Source в импортозамещении: Стратегическая возможность или правовой тупик?

Импортозамещение программного обеспечения в России из теоретической концепции перешло в практическую плоскость. Компании с госучастием и госкомпании стоят перед сложным выбором: как быстро, эффективно и без юридических рисков заменить иностранное ПО. В этом контексте открытое программное обеспечение (Open Source) выходит на передний план, но его использование сопровождается рядом критически важных вопросов. Почему Open Source — идеальный кандидат для импортозамещения? 1. Независимость от вендора. Это ключевое преимущество. Исходный код открыт, и его развитие не зависит от политики одной компании-правообладателя. Если оригинальный проект или его основной спонсор (например, из недружественной юрисдикции) прекратит поддержку, сообщество или российские компании могут сами его форкнуть и продолжить развитие. Это прямая страховка от санкционных рисков. 2. Снижение затрат. Отсутствие первоначальных лицензионных отчислений за саму лицензию (не путать с затратами на внедрение, поддержку и доработку) позволяет резко снизить бюджет на миграцию. Высвобожденные средства можно направить на адаптацию продукта под специфические нужды и обучение сотрудников. 3. Скорость и гибкость. Не нужно «изобретать велосипед». Можно взять готовые, проверенные мировым сообществом решения (например, PostgreSQL, Linux, Kubernetes) и сфокусироваться на их адаптации, а не на разработке с нуля. 4. Безопасность через прозрачность. «Security through obscurity» (безопасность через неясность) — ненадёжная стратегия. Исходный код Open Source может быть изучен независимыми экспертами, в том числе российскими, на предмет уязвимостей и закладок. Это потенциально повышает уровень доверия к продукту. Купят ли компании с госучастием код с элементами Open Source? Короткий ответ: да, но с критически важными оговорками.

Юридически прямого запрета на использование Open Source в России нет. Однако для госкомпаний и компаний с госучастием существует ряд нормативных актов (например, приказы ФСТЭК, приказы Министерства цифрового развития), которые формируют строгие рамки. Ключевые проблемы, которые приходится решать: 1. Правовой статус и лицензионная чистота. Это главный камень преткновения. Государственные заказчики обязаны использовать ПО с ясным и непротиворечивым правовым статусом. · Лицензионные риски: Использование кода с лицензиями GPL или AGPL в проприетарном продукте, поставляемом государству, может привести к требованию раскрыть весь исходный код продукта. Это неприемлемо с точки зрения сохранения коммерческой тайны и часто противоречит политике информационной безопасности. · Решение: Компании-поставщики должны проводить строжайший аудит лицензионной чистоты своего продукта. Использование только разрешительных (permissive) лицензий (MIT, Apache 2.0, BSD) практически снимает эти риски. Код под этими лицензиями можно свободно включать в коммерческие продукты без обязательств по раскрытию своего кода. 2. Отсутствие «единой ответственности». Государственный заказчик привык к модели, где есть конкретный вендор, несущий полную ответственность по договору за всё ПО. В мире «чистого» Open Source ответственность размыта между сообществом. · Решение: Эту нишу занимают вендоры-интеграторы и дистрибьюторы. Они берут сырой opensource-продукт (например, дистрибутив Linux), дорабатывают его, тестируют, обеспечивают техническую поддержку, сертифицируют в ФСТЭК и ФСБ и несут за него ответственность по договору. По сути, госзаказчик покупает не код, а гарантии, поддержку и пакет услуг. Примеры: «Ред Софт» (Red OS), «Базовый Альт» (Astra Linux), Postgres Professional и т.д. 3. Вопросы сертификации и безопасности. Любое ПО, используемое в госсекторе, особенно в системах, обрабатывающих персональные данные и гостайну, должно проходить сертификацию. · Проблема: Открытый код из открытых репозиториев редко имеет все необходимые сертификаты ФСТЭК и ФСБ. · Решение: Вендоры-интеграторы берут на себя сложный и дорогой процесс сертификации своих сборок на основе Open Source. Именно эти сертифицированные дистрибутивы и могут быть закуплены госструктурами.

Гузель Карцева,

@GuzelKartseva ggr_83@list.ru

1
Начать дискуссию