Korzystanie z bezpłatnego i otwartego oprogramowania (FOSS) w Departamencie Obrony USA

Korzystanie z bezpłatnego i otwartego oprogramowania (FOSS) w Departamencie Obrony USA to raport The MITRE Corporation z 2003 roku , który dokumentuje powszechne użycie i poleganie na wolnym oprogramowaniu ( określanym jako „ FOSS ”) w Departamencie Obrony Stanów Zjednoczonych (DoD ). Raport pomógł zakończyć debatę na temat tego, czy FOSS powinien zostać zakazany w systemach Departamentu Obrony Stanów Zjednoczonych, i pomógł skierować dyskusję na obecną oficjalną politykę Departamentu Obrony Stanów Zjednoczonych, zgodnie z którą FOSS i oprogramowanie własnościowe są traktowane na równi.

Historia

Wersja 1.0

Raport FOSS rozpoczął się na początku 2002 roku jako prośba skierowana do Terry'ego Bollingera z The MITRE Corporation w celu zebrania danych o tym, jak FOSS był używany w systemach Departamentu Obrony Stanów Zjednoczonych. Motywacją do złożenia wniosku była debata tocząca się w Departamencie Obrony Stanów Zjednoczonych na temat tego, czy zakazać używania firmy FOSS w swoich systemach, aw szczególności, czy zakazać oprogramowania na licencji GNU General Public License (GPL). Amerykańska Agencja Systemów Informacyjnych Obrony (DISA) była również zainteresowana i zgodziła się sponsorować raport. Pierwsza wersja robocza została ukończona dwa tygodnie później, a wersja 1.0 została wydana kilka tygodni później. Szybko zyskał rozgłos dzięki dokumentacji dotyczącej szerokiego wykorzystania FOSS w Departamencie Obrony USA, w związku z czym został wymieniony w artykule o wolnym oprogramowaniu w Washington Post .

Uwaga zaowocowała nową rundą recenzji i poprawek. Firma Microsoft Corporation poprosiła Irę Rubinsteina , jej radcę prawnego i łącznika w sprawach związanych z polityką DoD dotyczącą oprogramowania, o dopuszczenie do udziału. Rubinstein, który jest wymieniony we wstępie jako pierwszy recenzent, przedstawił najbardziej szczegółową krytykę raportu. Jego zalecenia zaowocowały ogromnym rozszerzeniem zakresu i analizy licencji wolnego oprogramowania .

Wersja 1.2

Raport końcowy, wersja 1.2.04, został ukończony 2 stycznia 2003 r. Po raz pierwszy został opublikowany na stronie internetowej DISA, a teraz jest dostępny na stronie internetowej DoD CIO w zasobach oprogramowania open source.

Uderzenie

Przed tym raportem dostępnych było bardzo niewiele danych na temat tego, jak — a nawet czy — FOSS był szeroko stosowany w systemach Departamentu Obrony Stanów Zjednoczonych. Raport natychmiast zmienił ten aspekt dyskusji, udowadniając ponad wszelką wątpliwość, że Departament Obrony Stanów Zjednoczonych był już głównym użytkownikiem FOSS. Co ważniejsze, raport udokumentował, że FOSS był używany w ważnych, a nawet krytycznych sytuacjach. Jednym z bardziej zaskakujących ustaleń udokumentowanych w raporcie jest to, że społeczność zajmująca się bezpieczeństwem cybernetycznym była najbardziej zdenerwowana perspektywą zakazu FOSS ze wszystkich grup. Z ich perspektywy firma FOSS zapewnia wysoką widoczność kodu oraz możliwość szybkiego i cichego naprawiania luk w zabezpieczeniach. W wyniku ustaleń odrzucono wszelkie poważne rozważania dotyczące zakazu FOSS. Wysiłki mające na celu opracowanie polityki dotyczącej korzystania z FOSS zamiast tego przesunęły się w kierunku znacznie bardziej bezstronnej polityki, która została zapoczątkowana wraz z firmy Stenbit dotycząca oprogramowania open source, która wymaga od grup Departamentu Obrony Stanów Zjednoczonych traktowania firmy FOSS w taki sam sposób, jak oprogramowania własnościowego , a następnie została jeszcze bardziej doprecyzowana w wyjaśnieniu polityki firmy Stenbit w 2009 r. przez firmę Wennergren.

Szerszy wpływ można osiągnąć, uznając, że gdyby świadomy bezpieczeństwa Departament Obrony Stanów Zjednoczonych zakazał FOSS, prawdopodobnie wiele innych komponentów federalnych, władz stanowych i lokalnych, korporacji i grup międzynarodowych poszłoby w jego ślady. Rezultatem byłby świat znacznie mniej przyjazny zarówno dla FOSS, jak i dla wysiłków podobnych do FOSS.

Wyniki

Poniżej znajduje się streszczenie raportu. Pełny raport został opublikowany w wielu formatach, które można znaleźć wraz z powiązanymi zasobami oprogramowania open source na osobistej stronie internetowej Bollingera.

Ten raport dokumentuje wyniki krótkiego badania przeprowadzonego za pośrednictwem poczty elektronicznej przez The MITRE Corporation na temat korzystania z bezpłatnego i otwartego oprogramowania (FOSS) w Departamencie Obrony USA (DoD). Firma FOSS jest wyjątkowa, ponieważ daje użytkownikom prawo do uruchamiania, kopiowania, rozpowszechniania, studiowania, zmieniania i ulepszania jej według własnego uznania, bez konieczności proszenia o pozwolenie lub dokonywania płatności fiskalnych na rzecz jakiejkolwiek zewnętrznej grupy lub osoby. Właściwości autonomiczne FOSS sprawiają, że jest on przydatny w zastosowaniach DoD, takich jak szybkie reagowanie na cyberataki , dla których powolne procesy aktualizacji zewnętrznych o niskim poziomie bezpieczeństwa nie są ani praktyczne, ani wskazane, oraz dla aplikacji, w których pożądane jest szybkie, otwarte i ogólnospołeczne udostępnianie składników oprogramowania. Z drugiej strony, te same właściwości autonomii komplikują interakcje FOSS z oprogramowaniem innych producentów, co prowadzi do obaw – niektórych uzasadnionych, a innych nie – co do tego, jak i gdzie FOSS powinien być używany w złożonych systemach Departamentu Obrony.

Słowo za darmo w firmie FOSS nie odnosi się do kosztów fiskalnych, ale do praw do autonomii, które firma FOSS przyznaje swoim użytkownikom. (Lepszym określeniem oprogramowania bez kosztów, które nie ma takich praw, jest „ freeware” . .”) Wyrażenie open source podkreśla prawo użytkowników do badania, zmiany i ulepszania kodu źródłowego — czyli szczegółowego projektu — aplikacji FOSS. Oprogramowanie, które kwalifikuje się jako bezpłatne, prawie zawsze kwalifikuje się również jako oprogramowanie typu open source i vice versa , ponieważ oba wyrażenia wywodzą się z tego samego zestawu praw użytkownika oprogramowania sformułowanego pod koniec lat 80. przez Richarda Stallmana z Fundacji Wolnego Oprogramowania .

Celem badania MITRE było opracowanie jak najpełniejszej listy aplikacji FOSS używanych w DoD oraz zebranie reprezentatywnych przykładów wykorzystania tych aplikacji. W ciągu dwóch tygodni ankieta zidentyfikowała łącznie 115 aplikacji FOSS i 251 przykładów ich użycia.

Aby pomóc w analizie uzyskanych danych, postawiono hipotetyczne pytanie, co by się stało, gdyby oprogramowanie FOSS zostało zakazane w DoD. Co zaskakujące, w trakcie analizy odkryto, że to hipotetyczne pytanie ma odpowiednik w świecie rzeczywistym w postaci licencji własnościowych, które w przypadku szerokiego zastosowania skutecznie zakazałyby większości form FOSS. Na potrzeby analizy oszacowano skutki hipotetycznego zakazu na podstawie tego, w jaki sposób FOSS jest obecnie wykorzystywany w przykładach ankietowych. W przypadku dominujących w niszach produktów FOSS, takich jak Sendmail (wszechobecny w przypadku internetowej poczty e-mail) i GCC (podobnie wszechobecny kompilator ), przy szacowaniu takich wpływów należy również wziąć pod uwagę duży współczynnik wzmocnienia. Rzeczywiste poziomy wykorzystania przez DoD takich wszechobecnych aplikacji prawdopodobnie będą setki, tysiące, a nawet dziesiątki tysięcy razy większe niż liczba przykładów zidentyfikowanych w krótkiej ankiecie.

Głównym wnioskiem z analizy było to, że oprogramowanie FOSS odgrywa bardziej krytyczną rolę w DoD niż powszechnie uznano. Aplikacje firmy FOSS są najważniejsze w czterech szerokich obszarach: wsparcie infrastruktury , rozwój oprogramowania , bezpieczeństwo i badania . Jednym z nieoczekiwanych rezultatów był stopień bezpieczeństwa od firmy FOSS. Zakazanie FOSS spowodowałoby usunięcie niektórych typów komponentów infrastruktury (np. OpenBSD ), które obecnie pomagają wspierać bezpieczeństwo sieci. Ograniczyłoby to również dostęp Departamentu Obrony do – i ogólną wiedzę specjalistyczną w zakresie – korzystania z potężnych aplikacji FOSS do analizy i wykrywania, które wrogie grupy mogłyby wykorzystać do przeprowadzania cyberataków. Wreszcie, usunęłoby wykazaną zdolność aplikacji FOSS do szybkiej aktualizacji w odpowiedzi na nowe rodzaje cyberataków. Podsumowując, czynniki te sugerują, że zakazanie FOSS miałoby natychmiastowy, szeroki i silnie negatywny wpływ na zdolność wielu wrażliwych i skupionych na bezpieczeństwie grup DoD do obrony przed cyberatakami.

Za wsparcie infrastruktury , silny historyczny związek między FOSS a pojawieniem się Internetu oznacza, że usunięcie aplikacji FOSS miałoby bardzo negatywny wpływ na zdolność Departamentu Obrony do obsługi aplikacji internetowych i internetowych. Dział rozwoju oprogramowania zostałby szczególnie dotknięty w przypadku języków takich jak Perl , które są bezpośrednią kontynuacją Internetu, a także doznałby poważnych niepowodzeń w przypadku rozwoju języków tradycyjnych, takich jak C i Ada . Wreszcie badania ucierpiałby duży lub bardzo duży wzrost kosztów wsparcia oraz utrata wyjątkowej zdolności firmy FOSS do wspierania udostępniania wyników badań w formie wykonywalnego oprogramowania.

Ani ankieta, ani analiza nie potwierdzają przesłanki, że zakazanie lub poważne ograniczenie FOSS przyniosłoby korzyści w zakresie bezpieczeństwa lub zdolności obronnych Departamentu Obrony. Wręcz przeciwnie, połączenie niejednoznacznego statusu i w dużej mierze nieuzasadnionych obaw, że nie można go używać z innymi rodzajami oprogramowania, uniemożliwia firmie FOSS osiągnięcie optymalnego poziomu wykorzystania. W związku z tym MITRE zaleca, aby DoD podjął trzy działania na poziomie polityki, aby pomóc w promowaniu optymalnego wykorzystania FOSS przez Departament Obrony:

Utwórz listę „Ogólnie uznawanych za bezpieczne” firmy FOSS. Ta lista umożliwiłaby szybkie oficjalne uznanie aplikacji FOSS, które są (a) obsługiwane komercyjnie, (b) szeroko stosowane oraz (c) mają udokumentowane osiągnięcia w zakresie bezpieczeństwa i niezawodności — np. mierzone szybkością zamykania raportów CERT w porównaniu do alternatyw o zamkniętym kodzie źródłowym. Wstępne aplikacje do rozważenia obejmowałyby między innymi zestaw 115 już używanych aplikacji zidentyfikowanych w ankiecie w tabeli 2 oraz inne powszechnie używane narzędzia, takie jak Python ( [1] ), które nie pojawiły się w tym pierwszym zestawie wyników. Formułując listę, należy wziąć pod uwagę w szczególności wysokowartościową, intensywnie wykorzystywaną infrastrukturę i narzędzia programistyczne, takie jak Linux , OpenBSD , NetBSD , FreeBSD , Samba , Apache , Perl , GCC, GNAT , XFree86 , OpenSSH , BIND i sendmail .
Opracuj zasady ogólne, dotyczące infrastruktury, rozwoju, bezpieczeństwa i badań. Departament Obrony powinien opracować ogólną politykę zarówno w celu promowania szerszego i bardziej efektywnego wykorzystania FOSS, jak i zachęcania do korzystania z produktów komercyjnych, które dobrze współpracują z FOSS. Dobrym przykładem tego ostatniego jest produkt Microsoft Windows Services for UNIX , który opiera się na oprogramowaniu FOSS ( GPL ) w celu obniżenia kosztów rozwoju i radykalnego zwiększenia jego mocy. Należy stworzyć drugą warstwę dostosowanych zasad, aby zajmować się głównymi obszarami użytkowania. Infrastruktury i Rozwoju _ , zasady te powinny koncentrować się na umożliwieniu łatwiejszego korzystania z produktów GRAS, takich jak Apache , Linux i GCC, które są już powszechnie używane, ale często mają niejednoznaczny status zatwierdzenia. Jeśli chodzi o bezpieczeństwo , należy zachęcać do korzystania z licencji GPL w ramach grup o dobrze zdefiniowanych granicach bezpieczeństwa w celu promowania szybszych, bardziej lokalnie autonomicznych reakcji na cyberzagrożenia. Wreszcie, w przypadku badań polityka powinna zachęcać do odpowiedniego korzystania z FOSS zarówno do udostępniania i publikowania badań podstawowych, jak i do zachęcania do szybszej innowacji komercyjnej.
Zachęcaj do korzystania z usług firmy FOSS w celu promowania różnorodności produktów. Aplikacje firmy FOSS są zwykle znacznie tańsze niż ich zastrzeżone odpowiedniki, ale często zapewniają wysoki poziom funkcjonalności i są dobrze akceptowane przez użytkowników. To czyni ich dobrymi kandydatami do zapewnienia różnorodności produktów zarówno w zakresie pozyskiwania, jak i architektury systemów DoD. Różnorodność pozyskiwania zmniejsza koszty i ryzyko związane z bezpieczeństwem pełnej zależności od jednego oprogramowania, podczas gdy różnorodność architektoniczna zmniejsza ryzyko katastrofalnych cyberataków opartych na zautomatyzowanym wykorzystaniu określonych funkcji lub wad bardzo szeroko wdrożonych produktów.

^ ^a ^b David M Wennergren, DoD CIO (pełniący obowiązki), Clarifying Guidance About Open Source Software, 16 października 2009. Departament Obrony, 6000 Defense Pentagon, Washington DC 20301-6000.
^ Terry Bollinger, Korzystanie z bezpłatnego i otwartego oprogramowania (FOSS) w Departamencie Obrony Stanów Zjednoczonych, styczeń 2003. The MITER Corporation, 7515 Colshire Drive, McLean VA 22101-7508.
^ Bezpłatne oprogramowanie open source (zasoby DoD CIO związane z FOSS)
^ John P Stenbit, DoD CIO, DoD Policy Memo: Open Source Software (OSS) w Departamencie Obrony, 28 maja 2003. Departament Obrony, 6000 Defense Pentagon, Washington DC 20301-6000.
^ Raporty Open Source (zasoby Bollingera w FOSS)

[wennergren-1] David M Wennergren, DoD CIO (pełniący obowiązki), Clarifying Guidance About Open Source Software, 16 października 2009. Departament Obrony, 6000 Defense Pentagon, Washington DC 20301-6000.

[dodfoss-2] Terry Bollinger, Korzystanie z bezpłatnego i otwartego oprogramowania (FOSS) w Departamencie Obrony Stanów Zjednoczonych, styczeń 2003. The MITER Corporation, 7515 Colshire Drive, McLean VA 22101-7508.

[niioss-3] Bezpłatne oprogramowanie open source (zasoby DoD CIO związane z FOSS)

[stenbit-4] John P Stenbit, DoD CIO, DoD Policy Memo: Open Source Software (OSS) w Departamencie Obrony, 28 maja 2003. Departament Obrony, 6000 Defense Pentagon, Washington DC 20301-6000.

[bollinger-5] Raporty Open Source (zasoby Bollingera w FOSS)