А как насчет апдейтов? Мне кажется или после первого же апдейта с внешних репозитариев инсталляция данного дистрибутива перестанет соответствовать выданному сертификату?

Это одна из самых серьезных проблем сертифицированных дистрибутивов, поскольку апдейт с внешних репозитариев действительно приведет к компрометации выданного сертификата. Выход один - создание "государственного репозитария" к тому же и находящегося под контролем государства (например, того же ФСТЭК), в котором будут размещены только те апдейты, которые также прошли сертификацию.
Ну, а как в таком случае быть со свободной лицензией GPL, которая предусматривает обязательную свободу модификации программного кода?
Вопрос остается открытым...

А при нахождении серьезной уязвимости, использование которой приведет к компрометации инсталляции с данного дистрибутива, приведет ли это к отзыву сертификата? Если да, то сколько времени занимает процедура получения его вновь? Если нет, то как это согласуется со спецификой сертификата?

Что вы подразумеваете в данном случае под серьезной уязвимостью? Уязвимость безопасности? Например, работа с персональными данными требует запрета подключения к сетям типа Интернета. Соответственно, патч для лечения сетевой проблемы может и подождать .

Опять попали в яблочко. Сегодня процедура получения сертификата занимает очень много времени, речь идет о многих месяцах. Поэтому даже в случае обнаружения критической уязвимости ее устранение "домашними средствами" (путем скачивания апдейта из обычного репозитария) приведет к компрометации сертификата. Именно поэтому сегодня перед ФСТЭК стоит сложная проблема создания механизма оперативной сертификации программного обеспечения, особенно в случае устранения критических уязвимостей.

Это все справедливо с точки зрения здравого смысла. При этом, в случае обнаружения уязвимости, сертификат должен отзываться у непропатченной системы. Пропатченная система опять соответствует требованиям. Поэтому и появляется патч или обновление, что в какой-то части начинают нарушаться требования. Вопрос в том, кто является поставщиком патча. Если ФСТЭК - все нормально, если стороннее лицо, то потеря сертификата гарантирована.

Например, как сертифицируется мясо. Пусть некая мясная туша прошла сертификацию. Она будет соответствовать требованиям к качеству мяса несколько дней, не больше. Не 100 же лет, в конце концов, за которые эта мясная туша или сгниет или мумифицируется. Так и с ПО. Продукт скоропортящийся.

Вообще-то с виндой так и делается. Существует сайт с сертифицированными обновлениями.

> Ну, а как в таком случае быть со свободной лицензией GPL, которая предусматривает обязательную свободу модификации программного кода?
Вопрос остается открытым...

А в чём, собственно, проблема? Модифицировали ПО, выложили исходники, сертифицировали. Никаких противоречий здесь нет.

>А в чём, собственно, проблема? Модифицировали ПО, выложили исходники, сертифицировали. Никаких противоречий здесь нет.

Противоречие в том, что модификацией программного кода в данном случае могут заниматься только лишь уполномоченные на то организации, а не любой человек, например, Вы.

Если сегодня модифицировать СПО в школах может любой учитель информатики или даже школьник (при условии, что он умеет это делать), то в сертифицированном СПО это запрещено. А как же тогда быть с одной из четырех свобод GPL?

Проблема здесь не в технической невозможности модификации, а в очень долгой сертификации изменений. Любой может изменить код и отослать его в мандриву с тем, чтобы она добавила его к сертифицированным обновлениям. Или не в мандриву, а в пресловутую уполномоченную организацию.

Никакого противоречия нет. Просто весь модифицированный код должен быть предоставлен разработчиком
потребителю. И потребитель СВОБОДЕН им распоряжаться.

GPL ни в коем разе не обязывает изменять код. Она только даёт такое ПРАВО.

Если потребитель хочет изменять код - он его изменяет, если не хочет - нет.
В случае с сертифицированными ПО потребитель НЕ ХОЧЕТ изменять код. Вот и всё.

С другой стороны GPL позволяет потребителю, например, провести свой независимый анализ кода
или сделать свой несертифицированный форк.

>Если сегодня модифицировать СПО в школах может любой учитель информатики или даже школьник (при условии, что он умеет это делать), то в сертифицированном СПО это запрещено.

А там прям так и сказано, в "лицензии", что запрещено?
Там, видимо (не читал), сказано, что запрет на самостоятельное изменение с сохраниением сертификата. Без сохранения - меняй сколько хочешь.
Если следовать логике, то запрет на изменение исходит не от производителя, а от организации/предприятия, где запрещено использовать не сертифицированным ПО, т.к. изменение запрещает использование.
Ведь если в Винде есть официальный свободный доступ к "Панели управления" (к примеру), то это не означает, что он есть на рабочем компе для рядовых сотрудников, в целях безопасноти и бесперебойности работы компьютера. Ситуация не аналогична, но очень похожа по сути.

> Ну, а как в таком случае быть со свободной лицензией GPL, которая предусматривает обязательную свободу модификации программного кода? Вопрос остается открытым...

Да, лицензия позволяет - код можно менять.
Законодательство запрещает - можно утратить статус сертификации.
Есть выбор. Но ведь любой желающий может сделать форк.
Фактически код не закрывается. Сертификат даётся лишь на часть кода.
И распространяется на весь дистрибутив при условии неизменности этого кода.

Если патч меняет сертифицированный код, котрый оказался уязвимым,
при этом делая этот код надёжней, вполне логично закрепить законодательно
автоматическое пролонгирование действие сертификата на подобные патчи
и целиком на весь уже пропатченный дистрибутив.

Нет. Формально - в код были внесены изменения. "Делает код надежнее" - а кто гарантирует, что делая ЭТОТ участок кода надежнее патч не ослабляет другую? Тоесть без централизованного репозитария сертифицированных обновлений никак не обойтись. При этом скорость здесь играет ключевую роль, ибо сертификация длится долго, а уязвимость в инсталляциях надо закрывать как можно быстрее.

Не ясно, в чём расхождение с лицензией в данном случае?

Как я понимаю - берите да модифицируйте. Просто сертификат, естесственно, не будет действовать на то, что вы намодифицировали. И всего делов. Как я себе вижу это вещи абсолютно не пересекающиеся.

Увы, это не так. Каждый пользователь компьютера с установленным сертифицированным ПО предупреждается о недопустимости модификации программного кода и установки на компьютер какого-либо несертифицированного программного обеспечения. Кроме того, вполне возможна установка на такие компьютеры специализированного софта, контролирующего выполнение этих ограничений и соответствующей индикации подобных нарушений для служб безопасности.

А я извиняюсь, что будет если я куплю себе такой дистрибутив модифицирую?

Ну то есть меня накажут?

или он просто перестанет быть сертифицированным после этого?

Если накажут - то это очевидно нарушение лицензии.

Если перестанет быть сертифицированным. Ну значит перестанет. Это ведь не запрещает его модификацию и распространение, просто он теряет свойство "сертифицированности".

Ну я понимаю, что отдельным вопросом стоит что будет если я на работе модифицирую сертифицированный код. Скорее всего какое-то взыскание или того хуже, но это уже ведь другой вопрос. Это уже ни что иное как "вредительсво".

Ну или изменю и буду распространять, говоря что он сертифицированный - тогда это, как я себе вижу машинничество.

А я извиняюсь, что будет если я куплю себе такой дистрибутив _И_ модифицирую?

Если Вы сумеете купить для личного использования сертифицированный дистрибутив (правда, я очень в этом сомневаюсь. Например, попробуйте где-нибудь купить дистрибутив операционки для Вооруженных Сил России МСВС), то конечно вправе установить его на свой домашний компьютер и делать на нем все, что хотите. Но, как только Вы измените, хоть один символ в программном коде, Вы потеряете сертификат на это ПО.

Если же сертифицированное ПО установлено на компьютеры в организации или в учреждении, то Вам будет официально запрещено что-либо в нем менять. И Вы даже не сможете поэкспериментировать на таком компьютере и попробовать модифицировать сертифицированный программный код.

А разве это не является нарушением лицензии GPL?

> Если Вы сумеете купить для личного использования сертифицированный дистрибутив (правда, я очень в этом сомневаюсь. Например, попробуйте где-нибудь купить дистрибутив операционки для Вооруженных Сил России МСВС), то конечно вправе установить его на свой домашний компьютер и делать на нем все, что хотите. Но, как только Вы измените, хоть один символ в программном коде, Вы потеряете сертификат на это ПО.

По моему это точно не нарушает GPL. GPL не гарантирует сертификат, она лишь гарантирует возможность получить вместе с ПО все права на ПО. То, что сертификат теряется, как я вижу, с этим не связано никак. Просто это уже не тот код, который был сертифицирован, вот и всё.

Как я понимаю ситуацию, если я таки куплю этот дистрибутив и попытаюсь продать его копию (не предоставляя на него сертификат и вообще никак не связывая его с сертификацией), то это будет вполне законно. Этого и требует GPL.


> Если же сертифицированное ПО установлено на компьютеры в организации или в учреждении, то Вам будет официально запрещено что-либо в нем менять. И Вы даже не сможете поэкспериментировать на таком компьютере и попробовать модифицировать сертифицированный программный код.

> А разве это не является нарушением лицензии GPL?

На сколько я понимаю, нет.

GPL гарантирует, что распространитель свободного ПО передаст вам 4 свободы вместе с самим ПО.

По русски говоря, тот кто Вам лично продал/подарил бинарники обязан предоставить Вам исходники по цене не выше чем цена носителя по первому вашему требованию и обязан так же предоставить вместе с этим ПО 4 права, предоставляемые GPL, то есть вы можете проще говоря потом это модифицировать и/или продать.

Насчёт организации - она является конечным потребителем, а не распространителем. Она не распространяет своим сотрудникам это ПО. То есть она его не дарит, не продает и т.д., а значит, никаких прав эта организация сотрудникам передавать не обязана. Если сама организация решит модифицировать - её дело, GPL этого не запрещает, организация даже может не распространять это, если не хочет. Правда, при этом потеряется сертификация, как я вижу, потому что код уже другой, а не тот, который сертифицирован. Но GPL это не нарушает. Если же организация намерится распространять изменённый или не изменённый код своим сотрудникам или кому ещё, то она будет обязана предоставить исходники по первому требованию по цене носителя и все права до кучи.

Короче говоря, GPL регулирует распространение. Распространяя, распространитель обязан передать конечному пользователю либо другому распространителю всю полноту прав на ПО вместо с ПО и исходники по первому требованию либо сразу вместе с бинарниками.

То есть как я себе представляю, то, что ПО стоит у Вас на рабочем компьютере на работе не даёт Вам никаких прав на это ПО, потому что Вам его никто не распространял.

> То есть как я себе представляю, то, что ПО стоит у Вас на рабочем компьютере на работе не даёт Вам никаких прав на это ПО, потому что Вам его никто не распространял.

Но даже если это считать за "распространял", чисто гипотетически, то в этом случае организация просто напросто обязана предоставить вам копию исходников. И пусть модифицируют сколько желают где-нибудь подальше от предприятия.

Всё же требовать возможности модификации на рабочей машине не возможно. Не знаю, как это юридически, но с позиции организации это самоубийство. Мало ли что там человек наменяет. А оно потом как работать будет? Или вообще не работать. Или удалит что важное... ведь это производственный процесс. Есть ответственные за всё это люди. Такая модификация без санкции начальства скорее будет классифицирована как вредительство и срыв рабочего процесса вне зависимости от того, какая лицензия, насколько я понимаю. И GPL этого не требует нигде. Требует, чтобы вместе с бинарниками, вам предоставлялись исходники.

http://www.infolex.narod.ru/gpl_gnu/gplrus.html

вторая версия, но думаю это не сильно важно в данном случае.

все права передаются лицензиату. Лицензиат - это тот, кто получил экземпляр программы.

из "Условия воспроизведения, распространения и модификации"

Каждый приобретатель экземпляра Программы именуется в дальнейшем "Лицензиат".

Думаю, нельзя говорить, что пользователь компьютера получил экземпляр программы. А значит, как я понимаю, нельзя говорить и о передаче прав при этом.

Из преамбулы.


Чтобы защитить ваши права, мы вводим ряд ограничений с тем, чтобы никто не имел возможности лишить вас этих прав или обратиться к вам с предложением отказаться от этих прав. Данные ограничения налагают на вас определенные обязанности в случае, если вы распространяете экземпляры программного обеспечения или модифицируете программное обеспечение.

Например, если вы распространяете экземпляры такого программного обеспечения за плату или бесплатно, вы обязаны передать новым обладателям все права в том же объеме, в каком они принадлежат вам. Вы обязаны обеспечить получение новыми обладателями программы ее исходного текста или возможность его получить. Вы также обязаны ознакомить их с условиями настоящей Лицензии.

Там вот есть "если модифицируете, то на вас есть определённые обязанности". Но я не понимаю из текста лицензии что за обязанности в случае модификации. Как я понимаю, обязанности предоставить ПО есть в случае распространения.

В общем, как я себе вижу, нарушения нет. Потому что тот, кто пользует это ПО в организации - он не лицензиат.

Но, конечно, кроме суда точно этого никто сказать не может. Да и грамотное юридическое объяснение не помешало бы.

> А разве это не является нарушением лицензии GPL?

Нет.

> Если Вы сумеете купить для личного использования сертифицированный дистрибутив

Ооо... У нас и не такое продают.

> Если же сертифицированное ПО установлено на компьютеры в организации или в учреждении, то Вам будет официально запрещено что-либо в нем менять.

Ну тогда тот, кто издает такой запрет, должен нести ответственность за "утечку" информации в случае обнаружения уязвимости в системе. И скотлько случаев известно, чтобы начальников, которые отдают такие приказы, отправляли на шконари?

Если бы этот сертификат отражал какие-то конкретные свойства дистрибутива, тогда да. Но тогда он и не умещался бы на одном листочке, а содержал бы еще тонну приложений с результатами тестов и нормативными значениями.
В данном случае скорее похоже на то, что сертификат просто говорит - "Этот дистрибутив рулит". Простите уж за скепсис, но в нашей стране почти всё начиная от водительских прав и заканчивая проведением тендеров проходит именно по такому принципу - процедурному. Чтоб получить то-то нужно сделать то-то и то-то, а вот то-то отнести тому-то.

Буду рад, если окажусь не прав.

У меня тоже подозрение на это есть, но факт имеет место быть - без этой бумажки использование данного дистрибутива в некоторых местах будет просто невозможно. Там еще приведены какие-то децимальные номера, это что?

Это требование ЕСКД и ЕСПД :) Может помните, со школьного курса черчения: там была такая рамка, а в неё надо было вписывать разные данные ФИО исполнителя, контролера и т.п. И номер децимальный оттуда же. Он регистрируется на предприятии, на котором документ разработан.

Сертификат отражает главное - государство с вас стрясло бабло. И все.

Хорошо если именно государство... на местах государство не такое абстрактное... оно представлено конкретными Иванами Кузьмичами [совпадения случайны].

Не-ааа. если вы сертифицируесь, то вы покупаетесь защищенный софт у очень маленького количества поставщиков. А сертификацию проводит тоже ограниченный набор контор.

да - так оно и делается, как сказал Виктор Имантович. Апдейты тоже сертифицируются и сертифицированные апдейты получают от ФСТЭК пользователи сертифицированной системы.

> Можно поздравить компании Mandriva.Ru и «Национальный Инновационный Центр» с большим успехом.
Насколько я понял, эти дистры нифига не свободные. В них наверняка запихнули какую-нибудь свою проприетарную поделуху, чтобы закрыть дистр. С мандривы станется.
Кстати, у Альтов сертифицированный десктоп тоде несвободен, у них там с очень ограничительной лицензией wine включен. А вот сервер - свободный. Более того в комплекте поставки сервера помимо
"Комплект верифицированных дисков с операционной системой (3 диска: сборка под архитектуру x86, сборка под архитектуру x86-64, исходные тексты). Диски имеют заводской номер и печать ФСТЭК России;
имеется и
"Комплект дисков несертифицированной версии ALT Linux 4.0 Server (2DVD + 2CD) для использования в случаях не требующих применения сертифицированной версии"

Тем же ещё указан "Мезон.ру", для тех кто не в курсе это ЛинуксЦентр...