НовостиСобытияКонференцииФорумыIT@Work
Безопасность:

Блог

СПО и облачная безопасность

Валерий Васильев
12.04.2012 22:50:21

Завершился Russian Open Source Summit 2012. На одной из его секций обсуждалась тема безопасного использования свободного программного обеспечения (СПО) в облачных архитектурах.

Модератор секции Александр Соколов (АП КИТ), который делал первый доклад, без лишних обиняков констатировал, что успешность или неуспешность СПО в обеспечении облачной ИБ, по его мнению, зависит от того, сколько ответственности за развитие СПО для самых разных категорий пользователей сможет и захочет взять на себя СПО-сообщество. Изначально же преимуществ в обеспечении ИБ облаков нет ни у проприетарного ПО, ни у СПО.

Мне нечем возразить этой констатации г-на Соколова. А вам, уважаемые участник блога?

Комментариев: 14

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии

Usvad
13.04.2012 08:35:43

Цитата
сколько ответственности за развитие СПО для самых разных категорий пользователей сможет и захочет взять на себя СПО-сообщество

Если смотреть только по категории "развитие", то здесь вроде на равных: так же как и в СПО и в ППО - не пользуется популярностью - проект "загибается".
У СПО есть преимущество - проект можно форкнуть, а в ППО - кто-то должен его приобрести. Вся заковыка в том, а найдется ли? Borland повезло - приобрели, к примеру.

А вот по категории обеспечения ИБ (или может мера ответственности ИБ?)...
С одной стороны при ППО как то проще смотрится - есть конкретно кого "пинать". (Не зря ведь в ТП НПП указывалось, что СПО проекты будут включаться, если их кто-то будет представлять на территории РФ...)
Да только ведь ППО компании тоже не лыком шиты - чего стоят только лиц. соглашения: "как есть", "не несем ответственности"...
Не у всех конечно же это есть, но многие к этому стремятся - так что зачастую предъявлять что-либо достаточно сложно и накладно собирать доказательную базу (в особенности не профи IT).
По моему, есть хорошая тема для обсуждения - а что же лучше для конечного пользователя?

13.04.2012 12:36:13

Usvad,
а что, фокнуть СПО-проект много проще, чем продать ППО-проект?

По поводу ответственности. Даже индивидуальный пользователь будет искать техподдержки при возникновении проблем во время эксплуатации продукта, неважно, у кого – у индивидуального разработчика, сообщества или частной компании. Вывод такой: либо делаем продукт, не вызывающий за свой жизненный цикл вопросов, либо назначаем ответственного за сопровождение продукта.

Usvad
13.04.2012 13:18:12

Цитата
Usvad,
а что, фокнуть СПО-проект много проще, чем продать ППО-проект?

Вы считаете что я смотрю в сторону противостояния СПО-ППО? Нет - просто размышляю.

Легче ли форкнуть чем продать? Технически смотрится, что легче - трудозатраты по дальнейшему продвижению и дальнейшему развитию можно сказать сопоставимы, но у ППО нужно еще купить права.

Цитата
По поводу ответственности. Даже индивидуальный пользователь будет искать техподдержки при возникновении проблем во время эксплуатации продукта, неважно, у кого – у индивидуального разработчика, сообщества или частной компании.

Не спорю.
Возникает вопрос - как думаете - зачем г-н Соколов вопрошает к некоему "виртуальному" сообществу:
Цитата
успешность или неуспешность СПО в обеспечении облачной ИБ, по его мнению, зависит от того, сколько ответственности за развитие СПО для самых разных категорий пользователей сможет и захочет взять на себя СПО-сообщество.

Здесь кроется какая-то "непонятность" - надо этому сообществу меморандум выпустить что ли о своей мере ответственности?
Но такого меморандума от некоего сообщества никогда не будет: во всех лицензиях, связанных с СПО сразу однозначно заявляется - "передаем как есть" и "не несем никакой ответственности" - хотите берите, хотите нет дело ваше...
Поэтому если говорить о развитии проекта, то модель СПО смотрится более с лучшей стороны, потому что именно то, что проект "не умрет" меньше вероятности. (это если смотреть о мере ответственности по развитию)
Если смотреть со стороны ответственности по безопасности? - В принципе обе модели - это черные ящики - только ППО "чернее". smile:D

13.04.2012 13:48:36

Нет-нет, речь не о виртуальном сообществе, а о том, которое уже сформировалось вокруг СПО.

По поводу меморандума. Разработчики ППО безо всякого меморандума стали предлагать пользователям свои продукты на условиях "как есть". Нечто подобное должно произойти (или не произойти) с СПО – какие-то новые условия вырастут (или не вырастут) прямо из дальнейшей практики.

Чтобы сделать менее "черным ящиком" продукт СПО - конкретную сборку, используемую в компании или индивидуально – нужно сильно постараться, используя либо свои силы, либо какую-то структуру, аналогичную тестовой лаборатории.

Usvad
13.04.2012 14:16:36

Цитата
Разработчики ППО безо всякого меморандума стали предлагать пользователям свои продукты на условиях "как есть". Нечто подобное должно произойти (или не произойти) с СПО – какие-то новые условия вырастут (или не вырастут) прямо из дальнейшей практики.

Сначала я подумал, что здесь ошибка.
Но потом понял, что Вы рассматриваете понятие "как есть" с другой точки зрения - с точки зрения "поставили и работает". Я правильно понял Вашу мысль?
Цитата
Нечто подобное должно произойти (или не произойти) с СПО – какие-то новые условия вырастут (или не вырастут) прямо из дальнейшей практики.

Почему то мне кажется что такое понимание "как есть" как "поставили и работает" подходит и для СПО - очень многие продукты так и работают.
Что же до облаков и конечных пользователей, то по моему мнению для конечных пользователей будет все абсолютно "по барабану" СПО это или ППО - это скорее все вопрос технических специалистов.

Цитата
Чтобы сделать менее "черным ящиком" продукт СПО - конкретную сборку, используемую в компании или индивидуально – нужно сильно постараться, используя либо свои силы, либо какую-то структуру, аналогичную тестовой лаборатории.

Но возможность ведь есть? smile:)

Андрей Губанов
13.04.2012 12:20:54

Возражать г-ну Соколову преждевременно. Облачные технологии в промышленном масштабе только начинают практически применяться. Теория всегда поверяется практикой. Поэтому подождем сообщений об инцидентах.

13.04.2012 12:40:23

Андрей,
а что, в облаках по сравнению с "безоблачным" прошлым что-либо сильно изменится в части использования СПО и ППО? Чего ждать-то будем?

Андрей Губанов
13.04.2012 14:22:11

Если нужен ответ на вопрос - безопасно ли облако, то наличие сертификатов любого уровня на любой продукт таким ответом не является. Облако небезопасно, как и любая ИТ-технология. Если нужен ответ на вопрос - согласится ли кто-то гарантировать безопасность в том или ином объеме - то как минимум - безопасность не будет гарантирована, как максимум - безопасность будет гарантирована в объеме средств, затраченных на лицензии.

13.04.2012 15:06:55

Г-н Соколов озвучил в целом давно известную истину, которая относится не только к облакам.

Но мне не понятно другое. Почем г-н Соколов достаточно регулярно выступая на мероприятиях, представляется себя как АПКИТ (собственно именно на этому тему у меня был на днях пост - Общественные организации как удобные "визитные карточки".

Например, выступавший также на конференции Николай Комлев - это дейтствительно АПКИТ. Он является сотрудником (исполнительный директор) этой организации, не обременный другими бизнесами. Поэтому является достаточно независиым экспертом, выражающим интересы отрасли.

Александр же Соколов является, насколько мне известно, генеральным директором компании "ОАО "ЭЛВИС-ПЛЮС", со своими понятными коммерческими интересами.

Почему нужно скрывать свою позицию на рынке за членством в общественной структуре - не очень понятно.
Хотя, как раз, понятно почему...

Александр Соколов
11.05.2012 19:22:46

Не могу не постараться прояснить г-ну Колесову то, что ему "не понятно другое". Есть принципиальная разница в выступлениях от имени различных организаций: если от бизнеса - то практически не обходится без рекламы или, в крайнем случае, от достаточно одностороннего освещения вопроса; если от общественной организации, то тенденциозноть противопоказана. Как, например, можно от имени АП КИТ попытаться встать однозначно на сторону СПО или ППО, если в состав ассоциации входят представители и того и другого? И дело не в барикадах, а в содержательном развитии отрасли.
Кстати о вашей осведомленности. "Александр же Соколов" уже ровно три года не является генеральным директором компании "ОАО "ЭЛВИС-ПЛЮС"...
Но, собствеено, не в этом дело. Главное, есть ли претензии к независимости содержания выступления?
И, наконец, по Вашей логике, члены Общественной палаты не имеют права выступать от ее имени, а только от конкретных организаций, в котороых они работают? И как быть практически со всеми экспертными Советами?

11.05.2012 20:42:07

Цитата
Кстати о вашей осведомленности. "Александр же Соколов" уже ровно три года не является генеральным директором компании "ОАО "ЭЛВИС-ПЛЮС"...


Буду исходить из того, что ваше имя и фамилия - не простое совпадение с именами упомянутыми в тексте.

Возможно, я пользуюсь устаревшей информацией. Исправьте ее - представьтесь, пожалуйта.
Я - Андрей Колесов, работаю в PC Week обозревателем.
А вы где трудитесь? Кого представляете в АПКИТ? Или вы - сотрудника аппарата АПКИТ?

Цитата
И, наконец, по Вашей логике, члены Общественной палаты не имеют права выступать от ее имени, а только от конкретных организаций, в котороых они работают? И как быть практически со всеми экспертными Советами?

Имеют, но только обязательно, указав место основной работы.

13.04.2012 23:38:18

Валерий, позволю заметь что использование любого "инструмента", начиная от калькулятора и заканчивая облаками, суперкомпьютерами и т.д. Лежит в 2 областях.
1. Это способность конкретными пользователями, заказчиками и т.д. использовать данные инструменты.
2. Это правовая защита, в случае взлома данного облака и т.д. Возможно ошибусь, но область ИТ-преступлений их расследований и т.д. является "дикой". Тут каждый сам за себя и т.д.
И если за свой сервер я уверен, в размере "замка и сигнализации", то вот в облаке я совсем не уверен...

Usvad
15.04.2012 23:52:36

Цитата
. Это правовая защита, в случае взлома данного облака и т.д
......
И если за свой сервер я уверен, в размере "замка и сигнализации", то вот в облаке я совсем не уверен...

А по-моему здесь все ясней ясного - сертификация и т.д. И Ваша "уверенность" (как и уверенность большинства пользователей) будет на том уровне, на котором находится уверенность в соответствии, например, продуктов питания неким сертификатам, покупаемых в магазине.

16.04.2012 00:04:10

Цитата
покупаемых в магазине.

Я в продуктах не всегда уверен, а вот отдавать на хранение свою "картошку" нашим магазинам не буду точно. Они ее испортят...

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии