Госсайты берегут от зловредных внедрений
Правительству предлагают отказаться от обновления кода из-за рубежа
АНО «Цифровые платформы» направила в правительство список зарубежного свободного софта, который якобы был использован для распространения проукраинских лозунгов. Код этих разработок могут использовать до 68% госсайтов. АНО предлагает им отказаться от загрузки кода из внешних библиотек и сохранить его стабильные версии на локальных серверах. По данным “Ъ”, авторы большинства разработок ограничились лишь публичной поддержкой Украины, программный код затронут не был. Реализация идеи АНО может вылиться в то, что госсайты не получат обновления безопасности, предупреждают эксперты.
“Ъ” ознакомился с письмом гендиректора АНО «Цифровые платформы» (основана в 2014 году, позиционирует себя как разработчик предложений по госполитике в области цифровизации) Арсения Щельцина от 28 марта профильному вице-премьеру Дмитрию Чернышенко. Господин Щельцин предлагает госорганам отказаться от внедрения составных элементов сайтов — библиотек JavaScript и CSS — с зарубежных серверов их разработчиков. АНО пишет, что выявила случаи «зловредных внедрений», которые могут привести к появлению на сайтах вирусов и «политической агитации».
В письме предлагается хранить стабильные версии локально или использовать российский сервис по доставке контента CDNvideo.
В аппарате вице-премьера сообщили “Ъ”, что пока письмо не поступало.
Сейчас ряд ведомств продолжает загружать код своих сайтов с зарубежных ресурсов, несмотря на предписание Минцифры (см. “Ъ” от 25 марта). По данным АНО, 68% сайтов из 415 загружают код с внешних библиотек. Из 26 программных продуктов, которые в письме АНО названы «скомпрометированными библиотеками», только семь содержали потенциально нежелательный код, связанный с поддержкой Украины или осуждением военной операции, убедился “Ъ”. В 13 случаях сообщения в поддержку Украины были обнаружены только в документации или на сайтах проектов, а в библиотеки они не включались. В список также вошла платформа Node.js, авторы которой никак не реагировали на последние события, и не являющийся библиотекой сайт украинского клавиатурного тренажера Ratatype.
Разработчики, выступившие в поддержку Украины, нарушают принципы разработки свободного ПО о запрете дискриминации, пояснил “Ъ” господин Щельцин. По его мнению, для тех, кто выразил поддержку на сайтах, «нет никакой сложности включить этот код непосредственно в библиотеки». Он затруднился уточнить, почему в список попал Ratatype, а включение Node.js признал ошибочным.
В ответ на вопрос об источниках исследования господин Щельцин предоставил “Ъ” ссылку на общедоступную таблицу в Google Docs, где, по описанию составителей, собираются примеры «военных действий» и список «опасных для использования продуктов».
Таковыми ее авторы называют в том числе и продукты компаний, остановивших деятельность в России,— Oracle, Dell, HPE. На отдельном листе под названием «Пропаганда» перечислены проекты, чьи разработчики выражают поддержку Украине. Создатель документа, гендиректор Birka Дмитрий Симонов на вопрос “Ъ” о том, контактирует ли он с АНО, заверил, что «ни с кем не связан».
Гендиректор CDNvideo Ярослав Городецкий сказал “Ъ”, что ему известно о письме «Цифровых платформ», но инициатором обращения была сама АНО. Он добавил, что знаком с господином Щельциным со времен его работы в Институте развития интернета (в 2015–2018 годах господин Щельцин был директором ИРИ по проектной деятельности). Если идея АНО будет поддержана, CDNvideo намерена «акцентироваться на хранении библиотек», уточнил господин Городецкий. Вопросами обновлений и проверки кода на безопасность, по его мнению, должна заниматься «Лаборатория Касперского» (там отказались от комментариев).
АНО пытается продать услуги CDNvideo, считает исполнительный директор фонда «Общество защиты интернета» Михаил Климарев. По его мнению, идея хранить библиотеки локально может быть оправдана, но веб-мастера, работающие в одиночку, рискуют пропустить обновления безопасности. Использование стороннего софта, отмечает он, как правило, основано на доверии к разработчику, и «отношение, когда ему не доверяют, но берут разработки, выглядит странно».