На российский GitHub готовы потратить 1,3 млрд рублей

На российский GitHub готовы потратить 1,3 млрд рублей

На российский GitHub готовы потратить 1,3 млрд рублей

Минцифры предложило передать 1,3 млрд руб. на создание национального репозитория. Деньги возьмут со счетов фонда «Росинфокоминвест», которые «зависли» там с 2007 года. Конечный получатель средств – АНО «Открытый код».

О деньгах на российский репозиторий пишут «Ведомости». Предложение взять их со счетов «Росинфокоминвеста» было направлено в кабмин еще в декабре 2022 г.

Решение правительства ожидается уже в ближайшее время, сообщил один из источников издания. Какая именно организация, согласно предложению Минцифры, может оперировать средствами, он не уточнил.

По другим данным, получателем средств станет Российский фонд развития информационных технологий (РФРИТ).

При этом РФРИТ станет промежуточным звеном процесса. В дальнейшем фонд должен передать 1,3 млрд рублей в АНО «Открытый код».

Организацию создали в апреле 2022 года. Учредителями стали VK, «Ростелеком», университет «Иннополис», группа Т1 и другие структуры.

«Деятельность АНО «Открытый код» направлена на предоставление услуг по созданию, поддержанию и развитию экосистемы разработчиков и пользователей системного и прикладного программного обеспечения с использованием принципов открытого исходного кода», — говорится на сайте автономной некоммерческой организации.

Эксперимент по созданию российского аналога GitHub должен стартовать в начале ноября 2023 года. Он продлится до сентября 2024 года.

Проект постановления правительства, фиксирующий сроки, был опубликован на портале regulation.gov.ru ещё в феврале 2022 года. РБК писали, что доступ к национальному репозиторию для хранения софта получать все желающие. В первую очередь в нем разместят программы, созданные за счет бюджета.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

70% opensource-проектов редко фиксятся или заброшены

Согласно результатам исследования, проведенного в ИБ-компании Lineaje, 95% уязвимостей в приложениях возникают по вине подключаемых компонентов с открытым кодом. В половине случаев ситуацию невозможно исправить из-за отсутствия патча.

Более того, 70% opensource-проектов, на которые полагается рабочий софт, уже не поддерживаются либо находятся в неудовлетворительном состоянии. Статистика получена на основе анализа более 7 млн пакетов с открытым исходным кодом.

Примечательно, что проекты, за состоянием которых хорошо следят, оказались в 1,8 раза более уязвимыми, чем заброшенные, — видимо, частые изменения повышают риск привнесения ошибок.

Подобная опасность также выше, когда над проектом работают менее 10 или более 50 человек. В первом случае риск просмотреть проблему безопасности на 330% превышает показатель для команды средней величины, во втором — на 40%.

Проблему усугубляет тот факт, что зависимость может содержать до 60 слоев разнородных компонентов с открытым кодом, объединенных в одну структуру — как лего. В этом случае сложно не только оценить риски, но и принять меры для смягчения последствий эксплойта.

Исследование также показало, что 15% opensource-компонентов в приложениях с зависимостями имеют множество версий, что тоже затрудняет латание дыр. Софт средней величины в ходе работы может подтягивать 1,4 млн строк кода, написанного на 139 языках, в том числе небезопасных по памяти.

Треть подключаемых пакетов (34%) имеют американское происхождение, 13% — российское. В 20% случаев разработчик из США — аноним; для России этот показатель вдвое ниже.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru