Использование бесплатного программного обеспечения с открытым исходным кодом (FOSS) в Министерстве обороны США

Использование бесплатного программного обеспечения с открытым исходным кодом (FOSS) в Министерстве обороны США — это отчет корпорации MITRE за 2003 год , в котором задокументировано широкое использование и зависимость от бесплатного программного обеспечения ( называемого « FOSS ») в Министерстве обороны США (DoD). ). Отчет помог положить конец дебатам о том, следует ли запретить FOSS в системах Министерства обороны США, и помог перенаправить дискуссию в сторону текущей официальной политики Министерства обороны США. ^[1] обращения с FOSS и проприетарным программным обеспечением как с равными.

Отчет FOSS начался в начале 2002 года с запроса, переданного Терри Боллинджеру из корпорации MITRE, с просьбой собрать данные о том, как FOSS используется в системах Министерства обороны США. Поводом для запроса стали продолжающиеся дебаты в Министерстве обороны США о том, следует ли запретить использование FOSS в его системах, и, в частности, следует ли запретить программное обеспечение GNU General Public License (GPL). США Агентство оборонных информационных систем (DISA) также проявило интерес и согласилось стать спонсором отчета. Первый черновик был завершен две недели спустя, а через несколько недель была выпущена версия 1.0. Он быстро получил известность благодаря документации о широком использовании FOSS в Министерстве обороны США и, следовательно, был упомянут в статье о свободном программном обеспечении в Washington Post .

Это внимание привело к новому раунду рецензий и правок. Корпорация Microsoft обратилась с просьбой разрешить принять участие Айре Рубинштейн , их юрисконсульту и специалисту по связям с общественностью по вопросам политики в области программного обеспечения. Рубинштейн, который указан в предисловии как первый рецензент, дал наиболее подробную критику отчета. Его рекомендации привели к массовому расширению охвата и анализа лицензий свободного программного обеспечения .

Итоговый отчет, версия 1.2.04, ^[2] был завершен 2 января 2003 года. Впервые он был опубликован на веб-сайте DISA, а теперь доступен на веб-сайте DoD CIO на ресурсах программного обеспечения с открытым исходным кодом. ^[3]

До этого отчета было доступно очень мало данных о том, как — и даже широко ли — FOSS использовалось в системах Министерства обороны США. Отчет немедленно изменил этот аспект дискуссии, доказав вне всяких разумных сомнений, что Министерство обороны США уже является крупным пользователем FOSS. Что еще более важно, в отчете документально подтверждено, что FOSS используется в важных и даже критически важных ситуациях. Одним из наиболее удивительных выводов, зафиксированных в отчете, является то, что сообщество кибербезопасности больше всех расстроилось из-за перспективы запрета FOSS. С их точки зрения, FOSS обеспечивает высокую прозрачность кода и возможность быстро и незаметно исправлять недостатки безопасности. В результате полученных результатов любое серьезное рассмотрение вопроса о запрете ФОСС было прекращено. Вместо этого усилия по разработке политики использования FOSS перешли к гораздо более беспристрастной политике, которая была инициирована политикой программного обеспечения с открытым исходным кодом Stenbit . ^[4] это требует от групп Министерства обороны США относиться к FOSS так же, как к проприетарному программному обеспечению , и впоследствии было еще более четко сформулировано в разъяснении Веннергрена 2009 года. ^[1] политики Стенбита.

Более широкое воздействие можно реализовать, если признать, что если бы заботящееся о безопасности Министерство обороны США запретило FOSS, вполне вероятно, что многие другие федеральные компоненты, правительства штатов и местные органы власти, корпорации и международные группы последовали бы этому примеру. В результате мир стал бы гораздо менее дружелюбным как к ФОСС, так и к усилиям, подобным ФОСС.

Ниже приводится краткое изложение отчета. Полный отчет был опубликован в нескольких форматах, его можно найти вместе с соответствующими ресурсами программного обеспечения с открытым исходным кодом на личном веб-сайте Боллинджера. ^[5]

В этом отчете представлены результаты короткого исследования, проведенного корпорацией MITRE по электронной почте, об использовании бесплатного программного обеспечения с открытым исходным кодом (FOSS) в Министерстве обороны США (DoD). FOSS отличается тем, что дает пользователям право запускать, копировать, распространять, изучать, изменять и улучшать его по своему усмотрению, без необходимости спрашивать разрешения или осуществлять финансовые платежи какой-либо внешней группе или лицу. Свойства автономности FOSS делают его полезным для приложений Министерства обороны, таких как быстрое реагирование на кибератаки , для которых медленные процессы внешнего обновления с низким уровнем безопасности нецелесообразны и нецелесообразны, а также для приложений, где быстрый, открытый и общий доступ к программным компонентам для всего сообщества желательно. С другой стороны, одни и те же свойства автономии усложняют взаимодействие FOSS с программным обеспечением, не относящимся к FOSS, что приводит к опасениям — некоторые обоснованным, а некоторые нет — о том, как и где FOSS следует использовать в сложных системах Министерства обороны.

Слово «бесплатно» в FOSS относится не к финансовым затратам, а к правам автономии, которые FOSS предоставляет своим пользователям. (Лучшее слово для обозначения бесплатного программного обеспечения, лишенного таких прав, — « бесплатное ».) Фраза «открытый исходный код» подчеркивает право пользователей изучать, изменять и улучшать исходный код — то есть детальный проект — FOSS. приложения. Программное обеспечение, которое квалифицируется как бесплатное, почти всегда также квалифицируется как программное обеспечение с открытым исходным кодом, и наоборот, поскольку обе фразы вытекают из одного и того же набора прав пользователя программного обеспечения, сформулированного в конце 1980-х годов Ричардом Столлманом из Фонда свободного программного обеспечения .

Целью исследования MITRE было составить как можно более полный список приложений FOSS, используемых в Министерстве обороны, и собрать репрезентативные примеры того, как эти приложения используются. За двухнедельный период исследование выявило в общей сложности 115 приложений FOSS и 251 пример их использования.

Чтобы помочь проанализировать полученные данные, был задан гипотетический вопрос о том, что произойдет, если программное обеспечение FOSS будет запрещено в Министерстве обороны. Удивительно, но в ходе анализа было обнаружено, что этот гипотетический вопрос имеет реальный аналог в виде патентованных лицензий, которые, если их широко использовать, фактически запретят большинство форм ФОСС. Для целей анализа последствия гипотетического запрета оценивались на основе того, как ФОСС в настоящее время используется в примерах опросов. В случае доминирующих в своей нише продуктов FOSS, таких как Sendmail (повсеместно используемый для электронной почты в Интернете) и GCC (также повсеместный компилятор ), при оценке такого воздействия также необходимо учитывать большой коэффициент усиления. Фактический уровень использования таких вездесущих приложений Министерством обороны, вероятно, будет в сотни, тысячи или даже десятки тысяч раз больше, чем количество примеров, выявленных в кратком обзоре.

Главный вывод анализа заключался в том, что программное обеспечение FOSS играет более важную роль в Министерстве обороны, чем обычно считается. Приложения FOSS наиболее важны в четырех широких областях: поддержка инфраструктуры , разработка программного обеспечения , безопасность и исследования . Одним из неожиданных результатов стала степень зависимости безопасности от FOSS. Запрет FOSS приведет к удалению некоторых типов компонентов инфраструктуры (например, OpenBSD ), которые в настоящее время помогают поддерживать сетевую безопасность. Это также ограничит доступ Министерства обороны к использованию мощных приложений анализа и обнаружения FOSS, которые враждебные группы могут использовать для организации кибератак, и общий опыт в этой области. Наконец, это устранит продемонстрированную способность приложений FOSS быстро обновляться в ответ на новые типы кибератак. В совокупности эти факторы означают, что запрет FOSS окажет немедленное, широкое и крайне негативное воздействие на способность многих чувствительных и ориентированных на безопасность групп Министерства обороны защищаться от кибератак.

Что касается поддержки инфраструктуры , сильная историческая связь между FOSS и появлением Интернета означает, что удаление приложений FOSS приведет к сильному негативному влиянию на способность Министерства обороны поддерживать веб-приложения и интернет-приложения. Разработка программного обеспечения особенно сильно пострадает для таких языков, как Perl , которые являются прямым продуктом Интернета, а также потерпит серьезные неудачи в разработке на традиционных языках, таких как C и Ada . Наконец, на исследования повлияет значительное или очень большое увеличение расходов на поддержку, а также потеря уникальной способности FOSS поддерживать обмен результатами исследований в форме исполняемого программного обеспечения.

Ни опрос, ни анализ не подтверждают предположение о том, что запрет или серьезное ограничение FOSS принесет пользу безопасности или оборонительным возможностям Министерства обороны. Напротив, сочетание неоднозначного статуса и в значительной степени необоснованных опасений, что его нельзя использовать с другими типами программного обеспечения, не позволяет FOSS достичь оптимальных уровней использования. Поэтому MITRE рекомендует Министерству обороны предпринять три действия на уровне политики, чтобы способствовать оптимальному использованию FOSS Министерством обороны:

1. Создайте список FOSS, «общепризнанного безопасным». Этот список обеспечит быстрое официальное признание приложений FOSS, которые (а) коммерчески поддерживаются, (б) широко используются и (в) имеют подтвержденную репутацию в области безопасности и надежности, например, если судить по скорости закрытия отчетов CERT по сравнению с другими приложениями. альтернативам с закрытым исходным кодом. Первоначальные приложения для рассмотрения будут включать, помимо прочего, набор из 115 уже используемых приложений, определенных в ходе опроса в Таблице 2, а также другие широко используемые инструменты, такие как Python ( [1] ), которые не вошли в этот первый набор. результатов. При составлении списка следует уделить особое внимание дорогостоящей, интенсивно используемой инфраструктуре и инструментам разработки, таким как Linux , OpenBSD , NetBSD , FreeBSD , Samba , Apache , Perl , GCC, GNAT , XFree86 , OpenSSH , BIND и sendmail. .
2. Разработка общей политики, политики в области инфраструктуры, разработки, безопасности и исследований. Министерству обороны следует разработать общую политику, направленную как на содействие более широкому и эффективному использованию ФОСС, так и на поощрение использования коммерческих продуктов, которые хорошо работают с ФОСС. Хорошим примером последнего является продукт Microsoft Windows Services for UNIX , который использует программное обеспечение FOSS ( GPL ) для снижения затрат на разработку и значительного увеличения его мощности. Следует создать второй уровень индивидуальной политики для работы с основными областями использования. В отношении инфраструктуры и разработки эти политики должны быть направлены на облегчение использования продуктов GRAS, таких как Apache , Linux и GCC, которые уже широко используются, но часто имеют неоднозначный статус одобрения. Что касается безопасности , следует поощрять использование GPL внутри групп с четко определенными границами безопасности, чтобы способствовать более быстрому и более локальному автономному реагированию на киберугрозы. Наконец, что касается исследований, политика должна поощрять надлежащее использование ФОСС как для обмена и публикации фундаментальных исследований, так и для поощрения более быстрых коммерческих инноваций.
3. Поощряйте использование FOSS для продвижения разнообразия продукции. Приложения FOSS, как правило, стоят намного дешевле, чем их проприетарные эквиваленты, однако они часто обеспечивают высокий уровень функциональности и хорошее признание пользователей. Это делает их хорошими кандидатами для обеспечения разнообразия продуктов как при приобретении, так и в архитектуре систем Министерства обороны. Разнообразие приобретения снижает затраты и риски безопасности, связанные с полной зависимостью от одного программного продукта, а разнообразие архитектуры снижает риск катастрофических кибератак, основанных на автоматическом использовании определенных функций или недостатков очень широко используемых продуктов.