НовостиСобытияКонференцииФорумыIT@Work
Open Source:

Блог

Особенности национального лицензирования СПО

Сергей Голубев
01.03.2013 12:09:48

В середине февраля на "Хабрахабре" обсуждался дистрибутив "Сканер ВС", производства НПО "Эшелон". Система имеет сертификат ФСТЭК, как средство анализа защищенности автоматизированных систем, не содержащих государственную тайну. В состав системы входят свободные программы для поиска уязвимостей и аудита стойкости паролей. Также система сертифицирована Минобороны.

Полагаю, с технической точки зрения эта система не хуже и не лучше остальных, предназначенных для аналогичной цели. А вот лицензия на дистрибутив представляется автору статьи весьма сомнительной.

Вот выдержки из текста:

Цитата
3.Вы обязуетесь не распространять ПО. Под распространением ПО понимается предоставление доступа третьим лицам к воспроизведенным в любом формате компонентам ПО, в том числе по сети и иными способам, а также путем проката, сдачи в наем или предоставлением займа.
6.Вы не можете позволить осуществлять следующие действия:
— нарушать условия, оговоренные в настоящем соглашении;
— разделять ПО на составляющие части для использования их на разном оборудовании;
— пытаться декомпилировать (преобразовывать объектный код в исходный текст) любую часть программ, входящих в состав ПО;
— вносить какие-либо изменения в объектный код программ;
— совершать относительно ПО другие действия, нарушающие Российские нормы по авторскому праву и использованию программных средств.


Рассмотрим требование о запрете внесения изменений. С одной стороны, оно явно противоречит свободной лицензии. Однако, полностью соответствует обычному здравому смыслу - если пользователю нужна система, которая прошла тщательную проверку специалистами ФСТЭК и Минобороны, то он не должен ничего в ней менять.

А если всё-таки решится внести изменения, то только на свой страх и риск. Все сертификаты при этом, разумеется, теряют свою силу. Но ничего формально криминального в этом нет, поскольку использование несертифицированных систем в принципе не запрещено.

Аналогичные рассуждения можно применить и к остальным пунктам лицензии. Результат будет точно таким же.

Получается, что надо разделять два понятия - лицензию на сам продукт и требования сертификата. Они могут быть разными. Например, пользователь может вносить изменения в программы согласно свободной лицензии, но при этом он теряет сертификат согласно требованиям сертификации.

И вот это, кстати, совершенно непонятно. Получается, что эксперты ФСТЭК и Минобороны гарантируют определённые свойства оригинала, но не гарантируют при этом точно такие же свойства у его точной копии. По-моему, с технической точки зрения это совершенно абсурдно.

Комментариев: 2

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии

01.03.2013 14:21:42

Так это старый добрый вопрос недействительности свободных лицензий "as is" на территории РФ. ФСТЭК и Минобороны упрекнуть совершенно не в чем: понятие "лицензионный договор" есть в ГК РФ, а вот понятия "лицензия на ПО" - нет. В РФ это сленговое, а не юридическое обозначение лицензионного договора. В то время как в остальном мире лицензирование ПО ничем не отличается от лицензирования винно-водочного ассортимента, например. И сопровождается сертификатом соответствия, всё правильно.

01.03.2013 23:26:14

Похоже ФСТЭК и Минобороны здесь ни причем - если посмотреть сайт программы, то можно увидеть, что они зарегистрировали программу в России как свою собственную. Отсюда и лицензия такая.
Здесь похоже на явное нарушение первичной лицензии, т.е. GPL и прочая. Такова мораль ИС в России. Причем они не первые и не последнии.
Хотя могли бы все сделать по уму и вполне официально.

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии