TAdviser: Так ли бесплатен Open Source: подводные камни ИБ-инструментов с открытым исходным кодом — TA мнения

На фоне ухода зарубежных ИТ-компаний из России встал вопрос замещения их продуктов. Одним из предпочтительных вариантов является Open Source, тем более что сама концепция ассоциируется с бесплатным использованием программного обеспечения. Но так ли бесплатны ИБ-инструменты с открытым исходным кодом? В августе 2024 года TAdviser опросил участников рынка, чтобы ответить на этот вопрос. Используя бесплатное ПО с открытыми исходниками, компаниям нужно понимать, что продукт придется дорабатывать под собственные нужды, а это значит, что необходимо привлекать разработчиков. «Это миф, — говорит директор департамента проектирования «Информзащиты» Анатолий Ромашев, отвечая на вопрос про «бесплатность» Open Source. — Вам придется тратить деньги на высококвалифицированных специалистов, которые будут дорабатывать и поддерживать этот софт, а также на их удержание, т.к. в какой-то момент они могут стать незаменимыми из-за большого количества легаси в коде, которое могут поддерживать только эти специалисты. Также, когда у вас падает критичная система, вы не можете ждать, пока сообщество найдет и устранит баг.» У решений Open Source нет технической поддержки, поэтому бизнесу придется решать проблемы самостоятельно. В случае с коммерческими продуктами их производители помогают устранить ошибки информационной безопасности, улучшить производительность и разобраться в правильном использовании функций. Как отмечают в Infosecurity (ГК Softline), открытость кода теоретически способствует повышению безопасности, но на практике не всегда удается вовремя выявить и устранить все уязвимости. Существует также риск внедрения вредоносного кода в обновления или модификации проекта, пояснил главный эксперт блока анализа защищенности Infosecurity Алексей Гришин. По словам Анатолия Ромашева из «Информзащиты», у продуктов Open Source есть несколько серьезных недостатков:

• ошибки в коде, как непреднамеренные, так и преднамеренные;
• отсутствие технической поддержки с заданным SLA (для community-версий продуктов);
• лицензии на опенсорс могут иметь ограничения, которые могут повлиять на использование в коммерческих целях;
• непредсказуемый цикл выхода версий продукта.

Open Source – это не бесплатно еще и потому, что разработчики часто предлагают использовать систему пожертвований или предоставляют платные продвинутые версии и услуги. В некоторых случаях работа с Open Source может выйти существенно дороже, чем покупка лицензии вендорского решения. По оценкам технического директора DIS Group Олега Гиацинтова, инструменты Open Source изначально бесплатны для пользователей, но с учетом необходимости доработки такие решения на дистанции более двух лет по стоимости выходят дороже, чем аналогичные проприетарные. Для работы над такими проектами требуется увеличение команды программистов в среднем в 1,5-2 раза, это все ведет к большим срокам реализации и в конечном счете к высокой стоимости, добавил он. Читать подробнее статью