Мінфін - Курси валют України

Встановити
14 лютого 2024, 12:36

«Дія» стає open source: що це значить

Кабмін ухвалив постанову, яка дозволяє відкрити код застосунку «Дія», повідомив міністр цифрової трансформації Михайло Федоров. Це значить, що будь-який розробник з будь-якої точки світу зможе вивчити код, документацію та розробляти власні сервіси, які підходять до застосунку.

Кабмін ухвалив постанову, яка дозволяє відкрити код застосунку «Дія», повідомив міністр цифрової трансформації Михайло Федоров.
Фото:epravda.com.ua

► Підписуйтесь на телеграм-канал «Мінфіну»: головні фінансові новини

Які переваги відкриття

За словами Федорова, відкриття коду «Дії» матиме низку переваг:

  • Експорт «Дії» в інші країни: З відкритим кодом і документацією «Дія» може бути легко адаптована до потреб інших країн.

  • Підвищення прозорості: Opensource-продукти — це про прозорість, що буде хорошим сигналом для партнерів України.
  • Залучення IT-спільноти: Розробники з усього світу зможуть не лише використовувати «Дію», але й пропонувати свої ідеї щодо її покращення.

«Весь світ зосереджує увагу на open-source продуктах», — написав міністр.

«Топові світові продукти працюють на відкритому коді. Наприклад, естонський застосунок X-Road — на його основі ми побудували систему Трембіта, яка відповідає за швидкий обмін даними між реєстрами».

Федоров окремо підкреслив, що відкривши код, ніхто не зможе отримати доступ до реєстрів та особливостей шифрування «Дії».

Коментарі - 22

+
+40
Philip92
Philip92
14 лютого 2024, 12:45
#
«Это означает, что любой разработчик из любой точки мира сможет изучить код, документацию и разрабатывать собственные сервисы, подходящие к приложению.» А так же сможет находить и использовать уязвимости — подумал, но не сказал Михаил Федоров
+
+45
Алекс Ф
Алекс Ф
14 лютого 2024, 12:51
#
Так в цьому і є фішка опенсорсу, находять і репортять розробникам щоб закривали дірки, коли знайдуть.
+
+40
Бедный папа
Бедный папа
14 лютого 2024, 14:50
#
> є фішка опенсорсу, находять і репортять розробникам

як щодо «фішки» коли репортять фсб, а не розробникам?

+ щє є фішка коли розробники з київстару і без опенсорсу відкривають дірки
+
0
Алекс Ф
Алекс Ф
19 лютого 2024, 19:11
#
Ви точно маєте відношення до ІТ і тестування чи розробки ПЗ, чи рядовий коментатор-спеціаліст широкого профілю і можете повчити всіх у різних сферах?
+
+32
Три літри
Три літри
14 лютого 2024, 13:37
#
Це взагалі то плюс для Дії. Бо в закритому коді теж можна знаходити вразливості, але це роблять або зловмисники, або дуже невелика кількість людей які про це не повідомлять розробника Дії.
+
+30
innapcholko
innapcholko
14 лютого 2024, 15:07
#
В линуксе тоже открытый исходный код и дыры по 10−20 лет не закрывают — и кто надо про них прекрасно знает.
+
+48
locustsucol
locustsucol
14 лютого 2024, 16:10
#
Про 10−20 років — брехня. І якщо є дірки, які закривають не одразу після публікації - це дірки які можливі у використанні зловмисоником чисто в теорії, і якщо у потенціального зловмисника вже є акаунт у ситемі, або є фізичний доступ до обладнання на якому система працює.
Ви не розумієте про що пишете.
+
+30
innapcholko
innapcholko
14 лютого 2024, 16:19
#
Все на чесном слове — ни кто не заставляет публиковать сразу про дыры после их обнаружения — намного выгоднее продать их спец-службам — ФСБ например.
+
+53
locustsucol
locustsucol
14 лютого 2024, 16:28
#
Це не так працює. Якби ви хоч трошечки занурилися у світ open-source, ви б не писали цієї маячні. Схоже що ви просто демагог.
+
+15
innapcholko
innapcholko
14 лютого 2024, 16:37
#
Именно так и работает!
Ибо хакерты постоянно эксплуатируют неопубликованные уязвимости.
+
0
Три літри
Три літри
14 лютого 2024, 21:40
#
Справа в тому що хакерів не 10 штук на весь світ і видкритий код з уразливість буде проаналізований не тисячами, а сотнями тисяч людей. Може хтось один і побіжить до ФСБ, але 10000 інших зроблять пул-реквест.
+
0
innapcholko
innapcholko
14 лютого 2024, 21:42
#
Только проблема в том, что существующие дыры в опер-сорц существуют многие года и не сразу обнаруживаются «правильными» людми. А кто надо их находит и опенсорц этому сильно помогает.
+
0
Три літри
Три літри
14 лютого 2024, 21:46
#
Только проблема в том, что существующие дыры в опер-сорц существуют многие года и не сразу обнаруживаются «правильными» людми

Так і «неправильні» люди знаходять їх не відразу: у них з «правильними» цілком однакові умови для пошуку.

На відміну від ситуації с закритим кодом вінду де у неправильних велика фора.
+
+8
Три літри
Три літри
14 лютого 2024, 21:38
#
Пхах, у вінди код закритий і всі ці 40 років вона регулярно стає предметом атаки людей яки знайшли уразливості в її коді.

В той же час в Лінускі будь хто хто знайшов помилку може принаймі написати про це, а може і виправити. І помилки регулярно виправляються.

Де ти знайшов помилки які були відомі протягом 20 років? Назви хоч одну, знаток.
+
0
innapcholko
innapcholko
14 лютого 2024, 21:43
#
Так же можно не исправлять и написать правильным людям и за это хорошо забашляют.
+
0
Три літри
Три літри
14 лютого 2024, 21:45
#
Можна, але це має дуже поталанити щоб ніхто інший не знайшов цю уразливість і не виправив. Саме це є перевагою опенс-сорс на відміну закритого кода у вінди.

Ну і констатую що ти пустобрех — жодної уразливості яка була відома хочам б 10 років ти не знаєш.
+
0
innapcholko
innapcholko
14 лютого 2024, 21:54
#
Вот условно недавняя дыра в движке nginx — где при помощи правильного запроса — запускали нужную програму на сервере! В плоть до получения полного доступа со всеми последсвиями!

А дыра на самом деле очень старая — считай с первых выпусков продукта (2004 года) — и сколько ее эксплуатировали — одному богу известно. Возможно сам разработчик сделал эту хитрую «закладку»!
+
0
innapcholko
innapcholko
14 лютого 2024, 22:00
#
Любая уязвимость имеет многолетние истории, а опен-сорц только этому помогает — а то когда их публикует — проходит много лет ее эксплуатации!

Возможно ту же ДИЮ и без опенсорца — можно качественно разобрать и декомпилировать… но есть инструменты, которые этому сильно мешают — например обфускация кода — после чего код остается работоспособным — но абсолютно нечитаемым — и это приемущества закрытого кода, то-же самое деаеться с доступом к базам данных, где запросы превращаются в билеберду для стороннего наблюдателя / отладчика.
+
0
82845392
82845392
16 лютого 2024, 3:03
#
> але це роблять або зловмисники, або дуже невелика кількість людей які про це не повідомлять розробника Дії

Уважаемый проФФесионал, у любого уважающего себя разработчика (будь то частная компания или госучреждение) в штате должны состоять эксперты по кибербезопасности — ну или хотя бы привлекаться со стороны, как контракторы. Еще есть компании и команды, занимающиеся аудитом этой самой безопасности — как внешним («ethical hacking»), так и внутренним (то же ревью кода и процедур/процессов по договору).
+
0
innapcholko
innapcholko
16 лютого 2024, 9:01
#
Ага читай выше — уязвимость того же nginx — очень дренвняя, кто надо ее использовал и в хвост и гриву до публикации.

Опенсорц пестрит дырками.

Для «работы» с закрытым кодом — хоть порог вхождения выше.
+
0
82845392
82845392
16 лютого 2024, 19:00
#
> кто надо ее использовал и в хвост и гриву до публикации.

Zero-day никто не отменял, понятное дело. Я с этим и не спорил вроде?
+
0
82845392
82845392
16 лютого 2024, 2:55
#
> Це значить, що будь-який розробник з будь-якої точки світу зможе вивчити код, документацію та розробляти власні сервіси, які підходять до застосунку

Так открывается бэк- или фронт-энд? В первом случае (или если оба) — предложение имеет смысл, во втором — уже не очень :) Не будет же кто-то мимикрировать свой API под какой-то другой, который «Дія» уже юзает.
Кстати, Федорову на заметку: есть такая концепция замечательная, называется «SDK». Может дать возможность любому стороннему разработчику интегрироваться с твоей платформой/приложением без открытия его кода (пример: код iOS никто никому не открывает, но любой желающий может написать приложение на iPhone).

> Експорт «Дії» в інші країни: З відкритим кодом і документацією «Дія» може бути легко адаптована до потреб інших країн.

Так это не экспорт никакой, это форк. Зависит, конечно, от лицензии, под которой ее откроют, но вряд ли за это кто-то должен будет платить хоть копейку. Т.е. условный Мали сможет форкнуть этот код и сделать на нем «удостоверение российского наемника», что нам не даст ровным счетом ничего (разве что они найдут там баги, починят их и замержат в наш апстрим :) .

> Opensource-продукти — це про прозорість, що буде хорошим сигналом для партнерів України

Набор слов. Прозрачность сама по себе не стоит ничего, тем более для каких-то там партнеров. Она хороша, когда к чему-то ведет: поощрять разработчиков по всему миру находить и исправлять ош
Щоб залишити коментар, потрібно увійти або зареєструватися