14 лютого 2024, 12:36

«Дія» стає open source: що це значить

Кабмін ухвалив постанову, яка дозволяє відкрити код застосунку «Дія», повідомив міністр цифрової трансформації Михайло Федоров. Це значить, що будь-який розробник з будь-якої точки світу зможе вивчити код, документацію та розробляти власні сервіси, які підходять до застосунку.

► Підписуйтесь на телеграм-канал «Мінфіну»: головні фінансові новини

Які переваги відкриття

За словами Федорова, відкриття коду «Дії» матиме низку переваг:

Експорт «Дії» в інші країни: З відкритим кодом і документацією «Дія» може бути легко адаптована до потреб інших країн.
Підвищення прозорості: Opensource-продукти — це про прозорість, що буде хорошим сигналом для партнерів України.
Залучення IT-спільноти: Розробники з усього світу зможуть не лише використовувати «Дію», але й пропонувати свої ідеї щодо її покращення.

«Весь світ зосереджує увагу на open-source продуктах», — написав міністр.

«Топові світові продукти працюють на відкритому коді. Наприклад, естонський застосунок X-Road — на його основі ми побудували систему Трембіта, яка відповідає за швидкий обмін даними між реєстрами».

Федоров окремо підкреслив, що відкривши код, ніхто не зможе отримати доступ до реєстрів та особливостей шифрування «Дії».

Джерело: Мінфін

Стежити за новими коментарями

Коментарі - 22

+
+40: Philip92; 14 лютого 2024, 12:45; #

«Это означает, что любой разработчик из любой точки мира сможет изучить код, документацию и разрабатывать собственные сервисы, подходящие к приложению.» А так же сможет находить и использовать уязвимости — подумал, но не сказал Михаил Федоров

+
+45: Алекс Ф; 14 лютого 2024, 12:51; #

Так в цьому і є фішка опенсорсу, находять і репортять розробникам щоб закривали дірки, коли знайдуть.

+
+40: Бедный папа; 14 лютого 2024, 14:50; #

> є фішка опенсорсу, находять і репортять розробникам

як щодо «фішки» коли репортять фсб, а не розробникам?

+ щє є фішка коли розробники з київстару і без опенсорсу відкривають дірки

+
0: Алекс Ф; 19 лютого 2024, 19:11; #

Ви точно маєте відношення до ІТ і тестування чи розробки ПЗ, чи рядовий коментатор-спеціаліст широкого профілю і можете повчити всіх у різних сферах?

+
+32: Три літри; 14 лютого 2024, 13:37; #

Це взагалі то плюс для Дії. Бо в закритому коді теж можна знаходити вразливості, але це роблять або зловмисники, або дуже невелика кількість людей які про це не повідомлять розробника Дії.

+
+30: innapcholko; 14 лютого 2024, 15:07; #

В линуксе тоже открытый исходный код и дыры по 10−20 лет не закрывают — и кто надо про них прекрасно знает.

+
+48: locustsucol; 14 лютого 2024, 16:10; #

Про 10−20 років — брехня. І якщо є дірки, які закривають не одразу після публікації - це дірки які можливі у використанні зловмисоником чисто в теорії, і якщо у потенціального зловмисника вже є акаунт у ситемі, або є фізичний доступ до обладнання на якому система працює.
Ви не розумієте про що пишете.

+
+30: innapcholko; 14 лютого 2024, 16:19; #

Все на чесном слове — ни кто не заставляет публиковать сразу про дыры после их обнаружения — намного выгоднее продать их спец-службам — ФСБ например.

+
+53: locustsucol; 14 лютого 2024, 16:28; #

Це не так працює. Якби ви хоч трошечки занурилися у світ open-source, ви б не писали цієї маячні. Схоже що ви просто демагог.

+
+15: innapcholko; 14 лютого 2024, 16:37; #

Именно так и работает!
Ибо хакерты постоянно эксплуатируют неопубликованные уязвимости.

+
0: Три літри; 14 лютого 2024, 21:40; #

Справа в тому що хакерів не 10 штук на весь світ і видкритий код з уразливість буде проаналізований не тисячами, а сотнями тисяч людей. Може хтось один і побіжить до ФСБ, але 10000 інших зроблять пул-реквест.

+
0: innapcholko; 14 лютого 2024, 21:42; #

Только проблема в том, что существующие дыры в опер-сорц существуют многие года и не сразу обнаруживаются «правильными» людми. А кто надо их находит и опенсорц этому сильно помогает.

+
0: Три літри; 14 лютого 2024, 21:46; #

Только проблема в том, что существующие дыры в опер-сорц существуют многие года и не сразу обнаруживаются «правильными» людми

Так і «неправильні» люди знаходять їх не відразу: у них з «правильними» цілком однакові умови для пошуку.

На відміну від ситуації с закритим кодом вінду де у неправильних велика фора.

+
+8: Три літри; 14 лютого 2024, 21:38; #

Пхах, у вінди код закритий і всі ці 40 років вона регулярно стає предметом атаки людей яки знайшли уразливості в її коді.

В той же час в Лінускі будь хто хто знайшов помилку може принаймі написати про це, а може і виправити. І помилки регулярно виправляються.

Де ти знайшов помилки які були відомі протягом 20 років? Назви хоч одну, знаток.

+
0: innapcholko; 14 лютого 2024, 21:43; #

Так же можно не исправлять и написать правильным людям и за это хорошо забашляют.

+
0: Три літри; 14 лютого 2024, 21:45; #

Можна, але це має дуже поталанити щоб ніхто інший не знайшов цю уразливість і не виправив. Саме це є перевагою опенс-сорс на відміну закритого кода у вінди.

Ну і констатую що ти пустобрех — жодної уразливості яка була відома хочам б 10 років ти не знаєш.

+
0: innapcholko; 14 лютого 2024, 21:54; #

Вот условно недавняя дыра в движке nginx — где при помощи правильного запроса — запускали нужную програму на сервере! В плоть до получения полного доступа со всеми последсвиями!

А дыра на самом деле очень старая — считай с первых выпусков продукта (2004 года) — и сколько ее эксплуатировали — одному богу известно. Возможно сам разработчик сделал эту хитрую «закладку»!

+
0: innapcholko; 14 лютого 2024, 22:00; #

Любая уязвимость имеет многолетние истории, а опен-сорц только этому помогает — а то когда их публикует — проходит много лет ее эксплуатации!

Возможно ту же ДИЮ и без опенсорца — можно качественно разобрать и декомпилировать… но есть инструменты, которые этому сильно мешают — например обфускация кода — после чего код остается работоспособным — но абсолютно нечитаемым — и это приемущества закрытого кода, то-же самое деаеться с доступом к базам данных, где запросы превращаются в билеберду для стороннего наблюдателя / отладчика.

+
0: 82845392; 16 лютого 2024, 3:03; #

> але це роблять або зловмисники, або дуже невелика кількість людей які про це не повідомлять розробника Дії

Уважаемый проФФесионал, у любого уважающего себя разработчика (будь то частная компания или госучреждение) в штате должны состоять эксперты по кибербезопасности — ну или хотя бы привлекаться со стороны, как контракторы. Еще есть компании и команды, занимающиеся аудитом этой самой безопасности — как внешним («ethical hacking»), так и внутренним (то же ревью кода и процедур/процессов по договору).

+
0: innapcholko; 16 лютого 2024, 9:01; #

Ага читай выше — уязвимость того же nginx — очень дренвняя, кто надо ее использовал и в хвост и гриву до публикации.

Опенсорц пестрит дырками.

Для «работы» с закрытым кодом — хоть порог вхождения выше.

+
0: 82845392; 16 лютого 2024, 19:00; #

> кто надо ее использовал и в хвост и гриву до публикации.

Zero-day никто не отменял, понятное дело. Я с этим и не спорил вроде?

+
0: 82845392; 16 лютого 2024, 2:55; #

> Це значить, що будь-який розробник з будь-якої точки світу зможе вивчити код, документацію та розробляти власні сервіси, які підходять до застосунку

Так открывается бэк- или фронт-энд? В первом случае (или если оба) — предложение имеет смысл, во втором — уже не очень :) Не будет же кто-то мимикрировать свой API под какой-то другой, который «Дія» уже юзает.
Кстати, Федорову на заметку: есть такая концепция замечательная, называется «SDK». Может дать возможность любому стороннему разработчику интегрироваться с твоей платформой/приложением без открытия его кода (пример: код iOS никто никому не открывает, но любой желающий может написать приложение на iPhone).

> Експорт «Дії» в інші країни: З відкритим кодом і документацією «Дія» може бути легко адаптована до потреб інших країн.

Так это не экспорт никакой, это форк. Зависит, конечно, от лицензии, под которой ее откроют, но вряд ли за это кто-то должен будет платить хоть копейку. Т.е. условный Мали сможет форкнуть этот код и сделать на нем «удостоверение российского наемника», что нам не даст ровным счетом ничего (разве что они найдут там баги, починят их и замержат в наш апстрим :) .

> Opensource-продукти — це про прозорість, що буде хорошим сигналом для партнерів України

Набор слов. Прозрачность сама по себе не стоит ничего, тем более для каких-то там партнеров. Она хороша, когда к чему-то ведет: поощрять разработчиков по всему миру находить и исправлять ош

Щоб залишити коментар, потрібно увійти або зареєструватися

Не зареєстровані на Мінфіні? Придумайте логін і пароль для управління підпискою. (Я вже зареєстрований)

тільки латинські літери та цифри

логін вже існує введіть логін логін повинен містити 3-15 символів логін повинен містити літери

Введіть пароль

√

Новини по темі

Всі новини

«Дія» стає open source: що це значить

Які переваги відкриття

Коментарі - 22

Заявка успешно отправлена