26 Марта, 2013

Плагиат в отечественных продуктах ИБ - где грань?

Алексей Комаров
Пока вход в Интернет по паспорту не стал реальностью и есть ещё возможности для анонимного комментирования , читатели блога продолжают раскрывать неизвестные подробности о рассматриваемых мной продуктах.

Так, например, некто Фыва сообщает , что: "Altell neo - это модифицированная vyatta" и уточняет: "Естественно, они злостно нарушают лицензию". Комментарий приведён к моему посту Who is Mr. ALTELL? , посвящённому продукту одноимённой компании. Оставим за рамками отношения между работодателем и сотрудниками, но сам сценарий использования стороннего готового продукта (исходный код которого доступен для свободного скачивания ) с последующей сертификация во ФСТЭК представляется вполне реалистичным. В конце концов, для одного из своих проектов Микротест сертифицировал именно Vyatta . Присвоение чужих наработок также могло бы объяснить и удивившую меня скорость появления новых продуктов.

С другой стороны, сам ALTELL NEO вживую мне не встречался и оценить его схожесть с Vyatta не берусь. Опять-таки, локализация, техподдержка, наконец, сертификация - это то, что стоит денег и в продаже open-source по такой схеме нет ничего злостного. Нарушение GPL (если таковое, конечно, здесь имеется) в российских юридических реалиях - тоже вопрос всё ещё дискуссионный , хоть и с давней историей.

В конце концов, горячо любимаямною компания НПО Эшелон два года спустя  после начала обсуждения на Хабре  их поделия Сканер ВС более-менее обосновала легальность данного продукта у себя в блоге , со свойственной им, правда, аргументацией ad hominem.

Создание собственных ИБ-продуктов на базе open-source в России распространено ничуть не меньше, чем в мире. Например, АПКШ Континент базируется на FreeBSD и вендор особо этого не скрывает . Вот только не совсем понятно, выполняется ли на практике требование  лицензии The FreeBSD Project :
Copyright 1992-2013 The FreeBSD Project. All rights reserved. […] должно оставаться указанное выше уведомление об авторском праве, этот список условий и последующий отказ от гарантий.
Можно также вспомнить канувший в лету другой продукт (купленный в своё время Информзащитой) - Linux XP (трансформировашийся, как я понимаю, теперь в семейство решений от компании РОСА ), который до конца так и не оправился от ранее объявленного бойкота  со стороны linux-сообщества за нарушение GPL (хотя позднее вменяемые в вину создателям недостатки и были устранены).

Стоит признать, тем не менее, что умышленное или по недосмотру нарушение GPL и/или BSD лицензий всё равно у нас в стране вряд ли может привести к серьёзным сложностям со сбытом, особенно если рассматривать сертифицированные продукты. А вот использование этих формальных нарушений в качестве инструмента конкурентной борьбы при столкновении конфликтующих лоббистских интересов, на мой взгляд, вполне даже реалистично.

Нужно, правда, согласиться, что процесс доказательства плагиата и незаконного использования чужого исходного кода не так прост, тогда как клонирование аппаратных решений - вещь более наглядная и очевидная.

Переходя от программных заимствований к аппаратным, можно вспомнить "ДжаКарту" (JaCarta),  которая  по слухам  является клоном  IDProtect Key LASER  компании Athena и совершенно шедевральный, по моему скромному мнению, сертифицированный как межсетевой экран коммутатор RSOS6850 :

В целом же, жаль, конечно, что искажённая в кривом зеркале сертификации российская ИБ-действительность, накладывает свои отпечатки в восприятии реальности и от отечественных поставщиков решений по безопасности никто даже и не ждёт кристальной честности. Так мы скоро, глядишь, и до своих  СПАРТАН 300  и INTEGRAL  докатимся.

Изображение http://sobaka.com.ua/c/olds/sobaka/1218103376_20080807011555297_12.jpg