ПО с открытым исходным кодом под угрозой исключения из российского реестра: вопросы к Минцифры
Интересный финал истории от ребят из юридической компании Bytes & Rights. Предисловие: в мае 2024 года они купили софт «Ред ОС: Рабочая станция» и «Ред ОС: Сервер» от компании «Ред Софт». Оба продукта внесены в реестр отечественного ПО. В основе софта - множество кода под лицензий GPL. При модификации этого кода компания обязана в соответствии с лицензией GPL предоставить исходные коды своего продукта.
Полностью история описана здесь. В итоге с третьей попытке юристы смогли заставить Ред Софт раскрыть исходные коды.
Самое интересное - это реакция и поведение Минцифры. Напомню, именно это ведомство отвечает за ведение реестра отечественного ПО. При запросах представители Минцифры отвечали, что ПО соответствует всем правилам и закона не нарушает. Под давлением Генпрокуратуры чиновники изменили свою позицию. В итоге Ред Софт раскрыли исходные коды.
Вся эта ситуация - очень показательная. Дело в том, что после ареста экс-замминистра Минцифры г-на Паршина, обвиненного и приговоренного к сроку за взятничество как раз в части работы с ПО и реестром, Минцифры "били себя пяткой в грудь" и обещали, что будет проведен полный аудит всего, что там находится.
По факту - ничего не сделано.
Более того, я зашел сейчас в реестр и по ключевому слову «Asterisk» нашел несколько продуктов, в частности, VOXDISTRO IP-PBX от компании ООО «Вокс Линк», ИП-АТС MetPBX от ООО «Постмет-Р», MikoPBX от ООО «МИКО» и еще ряд систем. Все эти «продукты» базируются на Asterisk. И по логике обязаны тоже раскрыть исходные коды своего софта. Если они это сделали, то вопросов нет.
В любом случае, говорить о том, что это "отечественный" продукт вряд ли можно. Ну по крайней мере, достойно ли это быть в реестре - спорное утверждение. Если это сделано для участия в торгах и поставлять в государственные органы, то очень странная позиция Минцифры по выбору и поддержке иностранного (в том числе уязвимого) кода.
Напомню, что официальная лицензия Asterisk - GNU GPL v2. Ключевое здесь вот что: если вы модифицируете и распространяете Asterisk (или его часть), вы обязаны также распространять исходный код ваших модификаций под той же лицензией GPLv2. При этом разработчик Asterisk (Digium принадлежит Sangoma Technologies) также предлагает коммерческую лицензию для компаний, которые хотят встроить Asterisk в закрытые продукты без соблюдения требований GPL.
Много ли в России разработчиков с собственным ядром для телефонии? Не так много. Но они есть. И было бы, наверное, правильно, чтобы государство в лице Минцифры выделило отдельный грант на разработку отдельного продукта с исходным кодом для телефонии, который можно было бы использовать в том числе для «замещения» Asterisk.
В России очень много талантливых телефонных инженеров, и они точно поддержат этот проект. Это вопрос государственной безопасности, если хотите. Хотя опыт подобного проекта с игровым движком показывает, что любое такое начинание тонет в бюрократии.
Тем не менее, работы по зачистке реестра точно нужно делать. Как минимум, чтобы не нарушать закон.
Ну допустим я сделал продукт на базе Asterisk и пойду в digium скажу, хелло ребята я российская компания и делаю продукт на основе астериск, хочу соблюдать лицензии, давайте договоримся, интересно что они ответят)
