Всички чужди компании, желаещи да доставят оборудване и софтуер на китайски финансови институции, са длъжни да разкрият изходния код на своите продукти
IBM се съгласи да предостави на китайските власти изходния код на някои свои продукти, съобщи Уол Стрийт Джърнъл, позовавайки се на два независими източника, запознати с правилата за инспекция.
Достъп до кода са получили разработчици от Министерство на промишлеността и информационните технологии на Китай, при това само в специална стая, от която нямат възможност да го изнесат. Не се уточнява за кода на кои продукти става въпрос и колко време ще продължи инспекцията.
Това е нова практика в работата на китайските власти с чуждестранните технологични компании. Според някои експерти, решението на IBM е по-скоро жест на добра воля, който показва, че проверката на целия код при подобни условия, в частност ограничено време, е нереална задача.
Независимо от това, IBM е първата голяма технологична компания от САЩ, която приема условието на Пекин за отваряне на изходния код на своите продукти, за да бъде проверен за наличие на бекдор. По-рано всички американски компании бяха единни срещу това изискване.
В края на 2014 г. Китай прие закон, съгласно който всички чужди компании, желаещи да доставят оборудване и софтуер на местни финансови институции, са длъжни да разкрият изходния код на своите продукти и да се подложат, ако се налага, на щателни проверки.
Документът съдържа 22 страници и се явява първа стъпка по пътя към реализация на новата стратегия на китайското правителство, насочена към защита от промишлен и индустриален шпионаж.
Пекин стана особено чувствителен към темата за шпионажа, след като бившият агент на тайните служби на САЩ Едуард Сноудън изнесе изобличаващи факти за дейността им по следене на чужди бизнеси и правителства.
Не че ако бяха отказали, китайците щяха да се спрат да го поразгледат…
До Стойков каква е тази агресия? Само един майкросфтски чикиджия би се държал така.
Много добре си имам на представа какво е source code. Но истината е, че за момент не съм се замислял, че в тази статия са превели израза source code = изходен код. Защото това просто трябва да се преведе код или програмен код или в случая целият код на софтуера за още по-голяма яснота. И така, наистина изглежда като пълна глупост. Аз наистина си представях, че в случай този изходен код представлява не повече от 1/50 от целия код примерно. Не съм виждал оригиналната статия, така че става малко объркващо за коментар
До Димитър Иванов,
Ти като говориш така имаш ли си представа какво е “изходен код” (source code)?
“При нормален софтуер с милиони редове код е възможно да се изгубят между кода, особено ако е написан с тази цел да бъдат затруднени при четенето и анализа. Но при условие, че е само изходен код, едва ли…”
Ти осъзнаваш ли каква глупост си написал?
с една дума от чужда покупка нищо не е сигурно даже е опасно, щом сам не си задоволиш нуждите си от собствена продукция.
Към XYZ
—
На всичкото отгоре, това, че са им дали да гледат един код не означава на 100%, че това, което получават в бинарен (компилиран) вариант е 100% същото с това, което са гледали.
—
Напротив, според мен, след като го погледнат го компилират на място и ползат тези компилирани файлове при/преди/след инсталацията.
—
…да гледат стотици хиляди редове код…
—
Според мен тук идеята е да се прегледа само изходният код – това го тълкувам, че е само кода, който след всечки други операции, праща данни някъде. Предполага са, че това не са много редове код. Щом е изходен, се предполага, че ВСИЧКИ от този тип операции са изнесени в определени файлове, които отговарят за пращане на данни.
—
те ще се изгубят между кодовете
—
При нормален софтуер с милиони редове код е възможно да се изгубят между кода, особено ако е написан с тази цел да бъдат затруднени при четенето и анализа. Но при условие, че е само изходен код, едва ли…
И все пак, аз мисля, че това не може да им реши проблема и ако искат могат да ги преметнат. Какво пречи някъде в другия код да има функция, която се пуска с отложен старт, примерно 3 месеца след инсталация на програмата и почва да праща не прегледаните данни от изходния код, а други данни или не на едно място, а на друго място?
Съвсем възможно е IBM да модифицира версиите си специално за Китайското правителство. Освен това, това че няколко човека са затворени офлайн да гледат стотици хиляди редове код не е никаква гаранция – те ще се изгубят между кодовете и ще търсят за очевидно неща. Обаче бекдорите и програмите умишлени грешки обикновено не са очевидни. На всичкото отгоре, това, че са им дали да гледат един код не означава на 100%, че това, което получават в бинарен (компилиран) вариант е 100% същото с това, което са гледали. Кода на Линукс е гледан от буквално хиляди хора с онлайн възможности без ограничения във времето, и пак периодично се откриват грешки и дори уязвимости.