OpenSSL переходит на новую лицензию, совместимую с GPL

Александр Панасенко 24 Марта 2017 - 12:29

Средства криптографической защиты информации

...

OpenSSL переходит на новую лицензию, совместимую с GPL

Разработчики криптографической библиотеки OpenSSL объявили о запуске финальной стадии инициативы по смене лицензии на исходные тексты проекта. Вместо собственной лицензии OpenSSL, основанной на тексте устаревшей лицензии Apache 1.0, код предлагается распространять под типовой лицензией Apache 2.0.

Всем разработчикам отправлено уведомление с просьбой утвердить предстоящее изменение.

Ключевой причиной смены лицензии является несовместимость старой лицензии с GPL, что создаёт трудности при использовании OpenSSL в проектах с лицензией GPL и требует включения явных исключений в лицензионное соглашение GPL-продуктов. В частности, старая лицензия требует явного упоминания OpenSSL в рекламных материалах при использовании библиотек OpenSSL, а также добавления специального примечания в случае поставки OpenSSL в составе продукта.

Подобные требования вызывают несовместимость с GPL и усложняют жизнь GPL-проектам, использующим OpenSSL. Такие проекты вынуждены применять специфичные лицензионные соглашения, в которых основной текст GPL дополняется пунктом, в котором владельцы имущественных прав на код явно разрешают связывание приложения с библиотекой OpenSSL, указывая, что требования GPL не распространяется на связывание с OpenSSL. Без данного пункта пользователям приложения можно предъявить претензию в нарушении GPL, пишет opennet.ru.

Так как имущественные права на код OpenSSL не были переданы одной организации и остались в руках конечных разработчиков, для изменения лицензии потребовалось провести огромную работу по определению всех участников разработки. В итоге было выявлено около 400 индивидуальных разработчиков, внёсших более 31 тысячи изменений. Спустя около полутора лет, ушедших на подготовку к перелицензированию, проект перешёл на стадию согласования изменений с каждым из разработчиков.

Чтобы избежать подобных согласований в будущем проект ввёл в практику подписание лицензионного соглашения CLA (Contributor License Agreement), которое подготовлено в двух вариантах - для индивидуальных разработчиков и для компаний, работники которых занимались улучшением OpenSSL в рамках основной работы. Подписание соглашение обязательно для добавления нового кода в OpenSSL, но при приёме тривиальных патчей сделано исключение - простые патчи принимаются без CLA.

Тем временем, разработчики OpenBSD начали обсуждение возможных проблем с переносом кода из OpenSSL в LibreSSL, в случае смены лицензии. Многие из разработчиков LibreSSL не намерены передавать свои права.

Следующая главная новость »

Анатомия кибератаки: как расследовать инциденты в ИБ — подробнее в эфире AM Live. Регистрируйтесь »

Яков Шпунт 16 Декабря 2025 - 09:50

Соответствие законодательству РФ Малый и средний бизнес Корпорации Услуги по информационной безопасности Услуги по аутсорсингу информационной безопасности Услуги коммерческих Security Operations Center (SOC)Соответствие требованиям регуляторов

Каждая десятая компания в России отказывается от создания SOC

Каждая десятая организация в России отказывается от создания центров мониторинга и реагирования на инциденты информационной безопасности (Security Operation Center, SOC). Наибольшая доля таких компаний приходится на госсектор — 36%. Основная причина отказа — высокая стоимость развертывания и последующей эксплуатации SOC.

Такую статистику привёл «Ведомостям» и. о. директора и архитектор по информационной безопасности UserGate Дмитрий Овчинников.

В исследовании UserGate приняли участие 318 компаний из разных отраслей и разного масштаба. При этом малый бизнес с годовой выручкой до 800 млн рублей заметно чаще отказывается от создания или аренды SOC — таких компаний 30%. Среди средних и крупных организаций доля отказов значительно ниже и составляет 17%.

К услугам внешних SOC-провайдеров чаще всего готовы обращаться компании, для которых критично сокращение времени реагирования на инциденты. К этой группе относится и часть государственных организаций, рассматривающих внедрение SOC. В то же время 28% опрошенных заявили, что не готовы доверять функции мониторинга и реагирования сторонним подрядчикам.

40% респондентов не планируют внедрять SOC, поскольку не видят в этом необходимости — например, не считают риски информационной безопасности значимыми. Ещё треть компаний уверены, что уже реализованные меры защиты являются достаточными. 17% отказываются от SOC из-за высокой стоимости таких проектов, а 14% — по причине их сложности или нехватки профильных компетенций.

Как отметила бизнес-партнёр по кибербезопасности Cloud.ru Юлия Липатникова, строительство SOC остаётся прерогативой крупного бизнеса. Реализация такого проекта может занимать до полутора лет и требует серьёзных инвестиций. Компаниям приходится самостоятельно закупать целый комплекс решений для мониторинга инцидентов, а также формировать штат высококвалифицированных и дорогостоящих инженеров и аналитиков.

Директор департамента расследований T.Hunter Игорь Бедеров подчеркнул, что долю в 10% организаций, отказывающихся от SOC, нельзя недооценивать. По его словам, это тревожный сигнал, особенно с учётом того, что каждая пятая успешная атака на российские компании относится к категории массовых.

По мнению Игоря Бедерова, основные аргументы против внедрения SOC обычно сводятся к двум тезисам: «у нас мало инцидентов» и «это слишком дорого». Однако небольшое количество выявленных инцидентов чаще всего говорит не об их отсутствии, а о невозможности их обнаружения. Тем более что даже при массовых атаках злоумышленники всё чаще маскируют свою активность под легитимные события.

Стоимость создания собственного SOC Игорь Бедеров оценивает в 30–50 млн рублей в год. При этом на рынке уже существуют более гибкие подходы — от полностью аутсорсинговых моделей до различных гибридных вариантов, позволяющих заметно снизить капитальные затраты.

Анатомия кибератаки: как расследовать инциденты в ИБ — подробнее в эфире AM Live. Регистрируйтесь »