Открытый код, открой свои тайны

Министерство цифрового развития, связи и массовых коммуникаций РФ (Минцифры) заявило, что пока не будет вводить обязательную маркировку софта, созданного на основе доработанного открытого кода. Требование, по задумке, должно было распространяться на софт из реестра отечественного программного обеспечения (ПО). Но пока идут дискуссии вокруг использования open source, зреет другая проблема, которая требует внимания.

Минцифры сообщило изданию "Коммерсантъ", что считает введение маркировки "преждевременным". По словам представителя ведомства, определить минимальную долю открытого кода в ПО "представляется затруднительным". Глубина интеграции, характер доработки и технические особенности могут сильно различаться в зависимости от категории ПО, поэтому нужна индивидуальная оценка при включении сведений в реестр.

При этом представитель Минцифры отметил, что использование open source не означает, что разработка недостаточно самостоятельна или что решение некачественное. К тому же ПО на базе открытого кода не может быть включено в реестр без переработки, устранения уязвимостей и обеспечения гарантийного обслуживания. А решить поставленную правительством задачу удалось благодаря закону о "доверенном ПО" и постановлению правительства о правилах формирования и ведения перечня таких решений.

СМИ сообщают, что поручение об обязательной маркировке софта с открытым кодом дал председатель правительства Михаил Мишустин по итогам ЦИПР-2025. В итоговых публичных поручениях Мишустина о маркировке такого пункта нет. При этом суть поручения, по словам представителя Минцифры, заключалась "не в механической маркировке" ПО, а в "необходимости дифференцировать решения по уровню зрелости".

Тем не менее Михаил Мишустин действительно пред­лагал на пленарном заседании ЦИПР-2025 при вклю­чении софта в реестр от­дель­но мар­ки­ровать оте­чес­твен­ные ре­шения, ко­торые соз­да­ны с ну­ля и не за­висят от меж­ду­народ­ных про­дук­тов в от­кры­том дос­ту­пе - примечательно, что речь шла не о маркировке решений, написанных с использованием open source.

https://www.comnews.ru/content/239543/2025-06-04/2025-w23/1007/soft-nulya-pravitelstvo-rf-predlozhilo-markirovat-novye-resheniya-reestre-mincifry

Ранее, в 2023 г., Минцифры предлагало отдельно выделить в реестре ПО с "достаточным уровнем переработки" - оно должно было получать преференции при госзакупках.

На данный момент в реестр включено почти 31 тыс. решений.

По оценкам экспертов, доля open source в российском софте высока. По словам замначальника второго управления ФСТЭК Ирины Гефнер, 90% всех сер­ти­фици­рован­ных средств за­щиты ин­фор­ма­ции в РФ со­дер­жат заимс­тво­ван­ные прог­рам­мные ком­по­нен­ты с от­кры­тым ис­ход­ным ко­дом. А опрос разработчиков и потребителей ПО в 2024 г. показал, что в 2026 г. в корпоративном сегменте две трети используемого ПО будут основаны на открытом коде, и только треть составит полностью проприетарное ПО. Опрос провел Институт изучения мировых рынков (ИИМР). "Если же учитывать те продукты, которые распространяются как проприетарные, но содержат в себе элементы открытого кода, общая доля подобных решений, включая те, которые официально продвигаются как open source, достигнет как минимум 90%", - сделали выводы специалисты ИИМР.

https://www.comnews.ru/content/240339/2025-07-24/2025-w30/1008/open-source-popal-pod-pricel

Причин использования open source несколько. Основная - разрабатывать софт с нуля долго и дорого. Также нужны высококлассные специалисты. Сила технологических гигантов - таких как Google, Oracle, Microsoft - заключается в том числе в масштабе и огромных инвестициях в разработку. Конкурировать с ними сложно: придется как минимум вложить немалые средства, потратить годы на развитие продуктов и инфраструктуры. В России нет ресурсов, которые она может направить в разработку с нуля без использования open source. Да и к тому же в условиях ускоренного импортозамещения на это просто нет времени. Поэтому использование открытого кода - реальность, от которой не уйти, вопрос действительно в степени доработки.

Использование open source без должной доработки может быть опасным. В этом году компания Anthropic запустила модель Claude Mythos Preview, которая находит уязвимости в программных продуктах. Claude Mythos Preview сразу нашла уязвимости высокой критичности в огромном количестве софта - включая open source, который используется по всему миру - "во всех основных операционных системах, браузерах и критически важном инфраструктурном софте".

Но помимо повсеместного использования недоработанного open source зреет другая проблема - все чаще разработчики стали для написания кода обращаться к искусственному интеллекту (ИИ). Например, в марте 2026 г. "Альфа-Банк" заявил, что переходит на модель Enterprise Vibe Coding - при ней основную часть кода генерирует ИИ. В основе новой модели - ИИ-платформа AlfaGen. В целом, по данным ICT.Moscow, 80% российских разработчиков применили вайб-кодинг в своей работе в 2025 г. То, что вайб-кодинг несет риски информационной безопасности, признают эксперты.

Также компании используют нейросети для верстки презентаций, анализа документов. Получается, российские компании "скармливают" нейросетям чувствительные данные - даже коммерческие тайны. И это небезопасно: были случаи, когда диалоги с ChatGPT "прогугливались" в браузере. Все, что загрузили в нейросеть, не исчезает бесследно - при необходимости коммерческие тайны могут быть оттуда извлечены.

При этом компании нередко используют зарубежные системы ИИ. Директор по ИИ "Группы Астра" Станислав Ежов рассказывал "Деловому Петербургу", что чистые российские большие языковые модели используют только 15% отечественных компаний. Остальные же берут дообученные open source или гибрид.

К слову, учитывая, что нейросеть - черный ящик, она также может выдавать программисту фрагменты открытого кода. Но проблема с использованием нейросетей в программировании шире - она еще более масштабная с точки зрения кибербезопасности, чем использование open source.