Россия в минувшем квартале возглавила список стран по росту числа загрузок ПО с открытым исходным кодом, гласят результаты исследования компании Scarf, которая осуществляет мониторинг около двух тысяч проектов свободного и открытого ПО (FOSS).

Источник изображений: about.scarf.sh

В I квартале 2023 года число загрузок FOSS в России выросло на 220 % по сравнению с предыдущим кварталом. Подобную динамику можно было бы объяснить санкциями и массовым уходом крупнейших разработчиков коммерческого ПО с российского рынка, однако все эти ограничительные меры возникли никак не в I квартале 2023 года, и главное — Россия не единственная продемонстрировала столь стремительный рост интереса к свободному ПО. Вслед за Россией его загрузки резко увеличились в Ирландии (рост на 190 %), Нидерландах (190 %) и Бельгии (140 %).

Среди корпоративных пользователей крупнейшим потребителем FOSS оказалась компания Oracle — за ней следуют Apple, Cisco и Microsoft, а замыкает пятёрку лидеров General Motors, первый из игроков промышленного сектора. В целом число предприятий, пользующихся свободным ПО, за квартал выросло на 18,5 %, хотя в абсолютно выражении число загрузок снизилось на 26 %. Это несоответствие аналитики связали с коммерческими проектами с открытым кодом и их тестированием. Число загрузок всеми корпоративными клиентами увеличилось на 60 % и составило 240 млн.

Калифорнийская Scarf позиционирует себя как Google Analytics в сегменте открытого ПО — компания отслеживает данные по двум тысячам проектов.

Стартап Stability AI, разработавший нейросеть Stable Diffusion с открытым кодом, способную генерировать изображения по текстовому запросу, выпустил набор ИИ-моделей StableLM с открытым исходным кодом, генерирующих текст и предназначенных для конкуренции с большими языковыми моделями, такими как GPT-4 компании OpenAI.

Источник изображения: Pixabay

Набор моделей StableLM с 3 и 7 млрд параметров, доступный в «альфа-версии» на платформах GitHub и Hugging Spaces, может генерировать текст и программный код, а также «демонстрировать, как небольшие и эффективные модели могут обеспечивать высокую производительность при соответствующем обучении».

«Языковые модели станут основой нашей цифровой экономики, и мы хотим, чтобы каждый имел право голоса при их разработке», — написала команда Stability AI в своём блоге на сайте компании.

Источник изображений: Stability AI

Набор StableLM обучался на новом экспериментальном массиве данных, построенном на The Pile, но в три раза большем, с 1,5 трлн токенов контента. Stability AI не сообщила, есть ли у моделей StableLM те же проблемы, что и у других языковых моделей, а именно склонность генерировать токсичные ответы на определённые вопросы и придумывать ложные факты. Но, учитывая, что The Pile содержит непристойные и довольно резкие выражения, это вполне может быть.

«Как это бывает с любой предварительно обученной большой языковой моделью без дополнительной тонкой настройки и обучения с подкреплением, ответы, которые получает пользователь, могут быть разного качества и потенциально могут включать оскорбительные выражения и взгляды, — написала Stability AI. — Ожидается, что это будет исправлено за счёт масштабирования, более качественных данных, отзывов сообщества и оптимизации».

Тем не менее, получившие настройку с использованием методики Alpaca, разработанной в Стэнфорде, на наборах данных с открытым исходным кодом, в том числе от стартапа AI Anthropic, модели StableLM ведут себя как ChatGPT, реагируя на поручения (иногда с юмором), такие, как «написать сопроводительное письмо для разработчика программного обеспечения» и «написать текст для эпической рэп-битвы».

Хотя некоторые эксперты подвергают критике модели с открытым исходным кодом, утверждая, что они могут использоваться в сомнительных целях, например, для создания фишинговых электронных писем или поддержки атак вредоносных программ. Но Stability AI утверждает, что открытый исходный код на самом деле является правильным подходом. «Открытый, детализированный доступ к нашим моделям позволяет широкому исследовательскому и академическому сообществу разрабатывать методы интерпретации и безопасности, выходящие за рамки того, что возможно с закрытыми моделями», — заявила компания.

Тем не менее, против Stability AI подан ряд судебных исков, в которых она обвиняется в нарушении авторских прав миллионов художников, так как разрабатывала Stable Diffusion с использованием изображений, защищённых правом на интеллектуальную собственность.

Некоммерческая организация Linux Foundation объявила о планах на создание платформы метавселенной с открытым исходным кодом, которая имеет шансы стать «такой же влиятельной, как Всемирная паутина», если компании, разработчики и фонды объединятся для достижения общих целей.

Источник изображения: openmv.org

Новый проект получил название Open Metaverse Foundation (OMF), и его уже поделили на так называемые группы по интересам, каждая из которых сосредоточится на собственной теме. Среди ключевых направлений перечисляются технологии транзакций, виртуальные миры и симуляции, сетевые решения, вопросы безопасности и конфиденциальности, а также правовые вопросы и политика.

Назначенный исполнительным директором OMF Роял О'Брайен (Royal O’Brien) заявил, что в рамках нового проекта будут созданы условия для обсуждения, определения и разработки «кирпичиков» для воплощения метавселенной в реальность — её частью станут цифровые активы, симуляции, транзакции, алгоритмы искусственного интеллекта и прочие решения.

Linux Foundation создана как нейтральная среда для разработчиков, позволяющая обмениваться кодом и совместно работать над инновационными идеями. В распоряжении некоммерческой организации есть обширное портфолио проектов, направленных на гармонизацию технологий, в том числе направление OpenWallet Foundation, которое поможет решить проблему совместимости цифровых кошельков.

Компания «Базальт СПО», занимающаяся разработкой системного программного обеспечения на базе Linux, в том числе по требованиям российского законодательства в области защиты информации, объявила о выпуске операционной системы «Альт Образование» версии 10.1.

Источник изображения: basealt.ru

Представленная разработчиком ОС предназначена для использования в образовательной среде. Ключевыми особенностями платформы «Альт Образование» являются интеграция рабочих мест учащихся и преподавателя и возможность централизованного управления учебным классом. Встроенные инструменты групповых политик позволяют бесшовно интегрировать систему в используемую IT-инфраструктуру Active Directory и управлять компьютерами и пользователями по единым правилам (включая аутентификацию в домене, доступ к файловым ресурсам и ресурсам печати).

Дистрибутив платформы «Альт Образование» 10.1 поставляется с двумя стабильными ядрами Linux 5.10 и 5.15 (выбираются на этапе установки системы), расширенной поддержкой периферийных устройств и дополнительным набором инструментов, упрощающих администрирование ОС. В комплект поставки также включены средства для скачивания образовательного контента с видеохостингов, обновлённая среда Wine 7.17 для запуска Windows-приложений и система программирования PascalABC.NET актуальной версии, которая используется при сдаче ЕГЭ по информатике.

Отдельное внимание разработчиками было уделено повышению безопасности платформы «Альт Образование» 10.1. В частности, сообщается об усилении защиты сеансов взаимодействия с Федеральной информационной системой обеспечения проведения государственной итоговой аттестации обучающихся, Федеральной базой свидетельств о результатах единого государственного экзамена и другими госинформсистемами за счёт улучшения поддержки корневых сертификатов шифрования российских удостоверяющих центров.

«Альт Образование» 10.1 поддерживает работу с аппаратными платформами x86 (Intel 32/64 бит), ARM64 («Байкал-М», Huawei Kunpeng Desktop, Raspberry Pi 4 и другие), e2k («Эльбрус»). Для домашнего использования ОС бесплатна, организациям необходимо приобрести лицензию.

Команда разработчиков Ubuntu объявила о доступности для скачивания финальной сборки одноимённой операционной системы, получившей индекс 22.10 и известной под кодовым названием Kinetic Kudu (в переводе с английского «кинетический куду»).

Новая редакция платформы получила обновлённое ядро Linux 5.19 и оптимизированное графическое окружение GNOME 43. Также сообщается о доработках файлового менеджера Nautilus и возвращении поддержки веб-приложений в формате PWA (Progressive Web Apps). Отдельное внимание при разработке ОС было уделено устранению обнаруженных в коде продукта ошибок и уязвимостей, обновлению входящих в состав дистрибутива программных пакетов и прочим изменениям, повышающим стабильность и скорость работы операционной системы.

С полным списком реализованных в Ubuntu 22.10 нововведений можно ознакомиться по этой ссылке.

Дистрибутив Ubuntu поставляется в различных вариациях для десктопов, нетбуков, серверов, облачных и виртуализованных сред, устройств интернета вещей и доступен для скачивания на официальном сайте проекта ubuntu.com. Выпуск следующей редакции операционной системы — 23.04 LTS — запланирован в апреле 2023 года.

Обновлённые версии дистрибутивов Ubuntu выходят каждые полгода и поддерживаются обновлениями безопасности в течение 9 месяцев. Исключение составляют релизы с долгосрочной поддержкой Long Term Support (LTS), выпускаемые раз в два года и поддерживаемые разработчиком в течение пяти лет.

Некоммерческая организация The Document Foundation (TDF), занимающаяся разработкой и поддержкой программного обеспечения с открытым исходным кодом, опубликовала офисный пакет LibreOffice для Windows в магазине цифрового контента Microsoft Store. Такой шаг направлен на то, чтобы поддержать пользователей, которые хотят получать программное обеспечение через канал продаж Microsoft.

Источник изображения: blog.documentfoundation.org

Стоимость LibreOffice на площадке Microsoft составляет $4,59. Собранные с продаж средства TDF направит на поддержку дальнейшего развития офисного пакета. Это отражает новую маркетинговую стратегию проекта. В то время как TDF сфокусировалась на выпуске версий семейства Community, другие участники экосистемы будут выпускать версии Enterprise, предназначенные для предприятий.

В TDF считают, что такое разграничение поможет научить организации поддерживать проекты FOSS (свободное программное обеспечение с общедоступным исходным кодом), выбирая версию LibreOffice, наиболее подходящую для их нужд, вместо версии Community, которая поддерживается энтузиастами. Отметим, что LibreOffice был доступен в Microsoft Store с 2018 года, но тогда на платформе его разместила не TDF, а одна из компаний, входящих в сообщество разработчиков ПО с открытым исходным кодом.

Источник изображения: Microsoft Store

«Мы благодарны компании Allotropia за то, что она до сих пор поддерживала LibreOffice в Microsoft Store. Наша цель — лучше удовлетворять потребности частных лиц и предприятий, хотя мы знаем, что положительный эффект от новой стратегии будет заметен только в долгосрочной перспективе. Рассказать организациям о FOSS — нетривиальная задача, особенно если вы хотите сохранить верность принципам свободного программного обеспечения», — считает Майк Сондерс (Mike Saunders), представитель маркетингового подразделения TDF.

TDF продолжит предоставлять возможность бесплатной загрузки LibreOffice для частных пользователей на своём официальном сайте. Кроме того, здесь же предприятия могут подобрать наиболее подходящий для конкретных нужд вариант офисного пакета.

Экспериментальный проект, предусматривающий создание государственного репозитория ПО, то есть аналога GitHub, стартует 1 ноября и продлится до 30 апреля 2024 года. В нём примут участие государственные ведомства, частные компании и физические лица. Целью эксперимента является отработка механизмов публикации и использования открытого ПО.

Источник изображения: fancycrave1 / pixabay.com

Проект регламентируется постановлением Правительства РФ от 10.10.2022 № 1804 «О проведении эксперимента по предоставлению права использования программ для электронных вычислительных машин, алгоритмов, баз данных и документации к ним, в том числе исключительное право на которые принадлежит Российской Федерации, на условиях открытой лицензии и созданию условий для использования открытого программного обеспечения». Документ описывает ключевые моменты эксперимента:

• создание национальной платформы открытого ПО;
• публикацию ПО, в том числе созданного в рамках госзаказов, для повторного использования в других проектах;
• создание нормативной базы для работы с открытым ПО.

Постановление также содержит текст открытой лицензии, регламентирующей публикацию разработок госорганами и госкорпорациями.

Среди участников проекта значатся Минцифры, МВД, Росреестр, Российский фонд развития информационных технологий (РФРИТ), а также другие ведомства, госкорпорации, частные компании и физические лица, изъявившие желание подключиться к программе. Принципы и порядок отбора участников определит Минцифры, а непосредственным отбором до 1 мая 2023 года будет заниматься РФРИТ.

Распространяемое через государственный репозиторий открытое ПО, согласно лицензии, не предусматривает каких-либо ограничений на использование наработок — они будут предоставляться безвозмездно. В ходе эксперимента будет сформирована практика использования открытого ПО госорганами, разработчики смогут образовать сообщество, а впоследствии, возможно, будут выявлены дополнительные требования к безопасности продуктов.

Острая потребность в отечественном репозитории открытого ПО возникла в середине апреля, когда платформа GitHub начала блокировать корпоративные учётные записи попавших под санкции российских компаний и частных лиц — с последних ограничения впоследствии были сняты. В конце апреля замглавы Минцифры Максим Паршин заявил, что российский аналог GitHub будет запущен до конца года.

Пользователи крупнейшего репозитория программного обеспечения с открытым исходным кодом GitHub обнаружили свыше 35 тыс. клонов популярных библиотек, заражённых вредоносным ПО. Об этом пишет «Коммерсант» со ссылкой на разработчика софта Стивена Лейси, который первым сообщил о проблеме и назвал её «широко распространённой атакой вредоносного ПО».

Источник изображения: Pixabay

Представители международного сообщества считают инцидент опасным, поскольку пользователи без верификации продуктов могут не отличить копию кода от его оригинала и, использовав вредоносные библиотеки, заразить свои системы. Также отмечается, что появление подобного кода мешает пользователям получать обновления и существенно снижает развитие собственных продуктов на базе открытого кода. Согласно имеющимся данным, в некоторых клонах библиотек, например, на языке Python, появились дефекты, используя которые злоумышленники могут получить несанкционированный доступ к данным.

Степень опасности инцидента для российских разработчиков специалисты оценивают по-разному. По мнению Павла Коростелева, руководителя отдела продвижения продуктов компании «Код безопасности», угроза актуальна для разработчиков, использующих открытый код для создания внутренних решений. Он отметил, что компании зачастую проверяют такой код менее тщательно, поскольку важным аспектом является скорость выхода конечного продукта. Руководитель подразделения безопасности ПО «Лаборатории Касперского» Дмитрий Шмойлов считает, что пострадать могут все разработчики, использующие соответствующие библиотеки.

Напомним, с февраля этого года профильные российские компании отмечают резкий рост количества вредоносных элементов (закладок) в открытом программном обеспечении, размещаемом в хранилищах. Согласно имеющимся данным, к июню их число увеличилось в 20 раз по сравнению с показателем прошлого года. В некоторых случаях закладки могли содержать провокационный контент или призывы к политически мотивированным действиям.

В России появление национального репозитория было запланировано на декабрь 2022 года, что следует из проекта постановления правительства от 10 февраля. Согласно имеющимся данным, в настоящее время документ находится на стадии общественного обсуждения. Контроль над созданием отечественного репозитория осуществляет Минцифры. В нём планируется размещать программные продукты с открытым кодом, разработанные ведомствами и субъектами РФ, а также коммерческими компаниями.

Компания Microsoft скорректировала условия использования своего фирменного магазина цифрового контента Microsoft Store. Софтверный гигант отменил введённый ранее запрет для сторонних разработчиков на заработок на продуктах Open Source. Это означает, что разработчики снова могут продавать на платформе программное обеспечение с открытым исходным кодом, которое в обычном виде распространяется бесплатно.

Источник изображения: Microsoft

Решение о запрете было мотивировано необходимостью борьбы с мошеннической перепродажей изначально бесплатных приложений. Однако правозащитной организации Software Freedom Conservancy удалось доказать, что у ПО с открытым исходным кодом имеется собственный инструмент для борьбы с мошенниками, которые пытаются нажиться на клонах популярных решений Open Source. Речь идёт о регистрации торговых марок и внесении в правила их использования пункта, запрещающего перепродажу под исходным именем.

При этом у пользователей такого ПО остаётся возможность платного распространения собственных сборок, но они не должны делать этого от имени основного продукта. В таких случаях, в зависимости от принятых проектами правил, требуется поставка под другим именем или добавление метки, говорящей о том, что сборка не является официальным продуктом.

Программное обеспечение с открытым кодом стало чрезвычайно популярным среди разработчиков и технологических компаний, но неограниченное применение решений на его основе становится всё большим риском для безопасности пользователей. Об этом сообщается в докладе The State of Open-Source Security, совместно подготовленным Snyk и Linux Foundation.

Источник изображения: Tezos/unsplash.com

Snyk и Linux Foundation заявляют, что более трети организаций не уверены в безопасности своих программных решений на основе открытого кода.

По словам представителя Snyk Мэтта Джарвиса (Matt Jarvis), разработчики ПО сегодня имеют собственные цепочки поставок — вместо сборки частей автомобилей они занимаются сборкой кода, скрепляя существующие компоненты с собственным уникальным кодом. Хотя это ведёт к росту продуктивности и инноваций, также это создаёт значительные угрозы безопасности.

По его мнению, первый в своём роде доклад обнаружил свидетельства наивных представлений технологических компаний о состоянии экосистемы решений на основе открытого кода. Совместно с Linux Foundation компания планирует использовать подобную информацию для продолжения образования и «оснащения» мировых разработчиков, позволяя им продолжить быстрое создание ПО, при этом сохраняя необходимый уровень безопасности.

В исследовании указывается, что среднестатистический проект по разработке приложения имеет 49 уязвимостей и 80 т. н. «прямых зависимостей». Более того, постоянно увеличивается время на устранение выявленных проблем в проектах с открытым кодом. Если в 2018 году на ликвидацию уязвимости в среднем уходило 49 дней, то в 2021 году — порядка 110 дней.

Исследование основано на опросе более 550 респондентов в первом квартале 2022 года, а также данных базы Snyk Open Source, включающих информацию об 1,3 млрд проектов с открытым кодом.

Сообщается, что только 49 % организаций имеют специальную политику безопасности для разработки или использования ПО с открытым кодом, причём среди средних и больших компаний этот показатель составляет всего 27 %. Порядка 30 % компаний и вовсе признали, что у них нет ни одного человека, прямо или косвенно отвечающего за безопасность программ с открытым кодом. Кроме того, эти же компании не имели никакой связанной с вопросом политики безопасности.

Компания Adobe намерена бороться с распространением визуальной дезинформации в Сети с помощью добавления метаданных о происхождении снимков. Это поможет не только отделить настоящие фото от фейков, но и подтвердить авторство контента.

Источник изображения: Jorge Franganillo/unsplash.com

Проект Adobe Content Authenticity Initiative (CAI) впервые был представлен в 2019 году, после чего компания опубликовала связанную с технологией техническую документацию, интегрировала систему в собственное программное обеспечение и активно продвигает её среди компаний-партнёров. Теперь Adobe анонсировала релиз набора программных инструментов с открытым кодом, состоящего из трёх частей: JavaScript SDK, позволяющего организовать отображение информации о контенте в браузерах, утилиту командной строки и Rust SDK для создания приложений для настольных компьютеров, а также мобильных устройств — такое ПО поможет создавать контент с точной привязкой к автору либо просматривать данные о создателях контента.

Если EXIF-данные файлов в основном содержат сведения об апертуре и скорости затвора, то новый стандарт записывает и подробную информацию о создании файла, включая то, как именно он был создан и отредактирован. Ожидается, что эти метаданные скоро можно будет посмотреть в социальных медиа, редакторах изображений и на новостных сайтах.

Стандарт C2PA является результатом сотрудничества между CAI и партнёрами включая Microsoft, Sony, Intel, Twitter, Nikon, а также известные международные издания. Располагая набором программных инструментов любая медиаплатформа может интегрировать код в свой сайт для того, чтобы любой смог просмотреть данные об изображении.

Главная цель CAI — борьба с дезинформацией в Сети. При этом бенефициарами новой системы могут стать и авторы контента, чья работа украдена и выставлена на продажу — с развитием рынка NFT это превратилось в большую проблему. Известно, что CAI заинтересовались и компании — операторы нейросетей и подобных систем. Интеграция метаданных в созданные компьютером изображения позволит отличить их от оригинальных творений людей. В Adobe утверждают, что в отличие от EXIF, новые метаданные намного труднее удалить и даже после удаления их довольно легко восстановить с помощью сервисов Adobe.

В компании уверены, что люди с недобрыми намерениями всегда смогут найти способ обмануть других, но среднестатистические пользователи наконец начнут получать больше информации о происхождении снимков. Теперь главным вызовом для компании является повсеместное внедрение технологии — чем больше крупных игроков медиасферы будут принимать её на вооружение, тем выше вероятность того, что люди будут получать достоверную информацию. Подробнее с инструментами можно ознакомиться на одном из сайтов Adobe.

Количество закладок (умышленно созданных вредоносных элементов) в программных продуктах с открытым исходным кодом (Open Source) с февраля этого года увеличилось в 20 раз. Об этом пишет «Коммерсант» со ссылкой на собственный осведомлённый источник в одной из крупных компаний, работающей в сфере информационной безопасности.

Источник изображения: Pixabay

Отмечается, что рост угрозы такого типа можно отсчитывать с нулевой базы, поскольку прежде софтверные продукты Open Source не пользовались популярностью среди хакеров. Специалисты «Лаборатории Касперского» с февраля этого года обнаружили 100 вредоносных элементов в зарубежном ПО с открытым исходным кодом, опубликованных в разных общедоступных репозиториях. В компании рассказали, что нередко закладки «в том числе содержат провокационный контент или призывы к каким-либо действиям» и имеют политические мотивы.

Эксперт по импортозамещению ПО компании «Крок» Александр Донин рассказал, что действие таких закладок может варьироваться от простого хулиганства, например, демонстрация пропагандистских баннеров, до интеграции вымогательского ПО. По его словам, программные закладки были обнаружены в пакетах ctx, phppass и Winbox, которые распространяются через разные репозитории. В CorpSoft24 отметили, что автор популярной библиотеки node-ipc добавил в продукт вирус-шифровальщик, который активизируется при обнаружении IP-адреса из России или Беларуси и портит всю файловую систему.

В «Лаборатории Касперского» подчеркнули, что риск закладок ещё и в том, что если в проекте Open Source был интегрирован вредоносный код, то он может появиться и в продуктах тех разработчиков, кто использовал его более ранние версии. «Если вендор постоянно не поверяет используемый исходный код, то пострадать могут все пользователи продукта», — считает руководитель подразделения безопасности программного обеспечения «Лаборатории Касперского» Дмитрий Шмойлов. Это означает, что если в более 100 проектах Open Source заложен вредоносный код, то заражёнными могут оказаться значительно больше программных продуктов, использующих этот элемент.

Компания Imagination запустила программу Open Access, в рамках которой будет бесплатно предоставлять некоторые фирменные разработки молодым компаниям. Компания готова бесплатно лицензировать четыре графических процессора серии PowerVR Series8XE и три ИИ-ускорителя PowerVR Series3NX. Это существенно уменьшит ценовой барьер для создания передовых решений IoT и ИИ для умного дома, умных городов, умных заводов, киосков и вывесок, здравоохранения и многого другого.

Источник изображения: Imagination

«Создание дифференцированной SoC с нуля — дорогостоящее мероприятие, требующее значительных знаний и ресурсов. Компании выбирают интегральные схемы, поскольку они снижают затраты и риски, связанные с НИОКР, позволяя им сосредоточиться на дифференциации продукта. Imagination Open Access предоставляет клиентам на ранних стадиях доступ к проверенным на кремнии интегральным схемам, снижая общий риск и обеспечивая помощь благодаря техническому опыту, лучшим в своем классе инструментам и постоянной технической поддержке», — сказано в пресс-релизе Imagination.

Что освобождается от лицензионных отчислений. Источник изображения: Imagination

Программный драйвер для свободных от лицензионных сборов продуктов поставляется компанией Imagination, как и совместимые драйверы с открытым исходным кодом, которые теперь также доступны на рынке, а это ведёт к значительному расширению возможностей платформ Imagination. Растущие компании могут брать готовые решения и создавать собственные продукты в кратчайшие сроки, снижая риски и ускоряя процесс выхода на прибыль.

Денег будет стоить только техническая поддержка и сопровождение. Источник изображения: Imagination

Следует сказать, что Imagination предоставляет клиентам не только проверенные разработки (GPU и ИИ-ускорители) и техническую поддержку проектов, но также учебные материалы, особенно ценные для организации университетских курсов. Это тем более важно, что компания также обратилась к архитектуре RISC-V с открытой процессорной схемотехникой и наборами кодов. Тем самым экосистема открытых решений Imagination потенциально охватывает весь спектр вычислительных продуктов в их завершённом виде: как процессорные, так и графические блоки.