Часть 2. Сначала они воруют, а когда ты побеждаешь, то тебя убивают

    Часть 1. Сначала они воруют, а когда ты побеждаешь, то тебя убивают

    Реакция на первую статью была очень сильной. Во-первых, на неё отреагировал ДИТ. Их представитель появился в комментариях, а затем ответ на статью дал руководитель ДИТ. Во-вторых, на нее отреагировал интернет. Большое количество СМИ рассказали об этой истории своим читателям.

    В этой статье будет разбор ответа ДИТ, парочка «ужастиков» со стороны ДИТ, раскрытие деятельности ООО «Альтарикс» и 1000 отзывов от детей и родителей. И да, у меня хорошие новости — заявление в ФАС подано.



    Ужастик №1


    После моего прошлого поста, я начал разбирать переписку с ЕМП и нашел письмо, где меня просят прислать исходники моего приложения им на почту.

    Почту пробил на Facebook и выяснил, что она принадлежит сотруднику компании ООО «Альтарикс».



    Т.е. меня заставили слить исходники не сотруднику ДИТ, а сотруднику ООО «Альтарикс», которые разрабатывают моего конкурента. Отличный поступок, ДИТ!

    Ужастик №2


    Хотите еще 1 отличный поступок? ДИТ нашел лучшее приложение без конкурса! Видимо осталась привычка от тендеров



    Вот мое приложение они даже не разместили на сайте, хотя я писал им об этом. А что думают дети?



    Забавный момент: сумма всех тендеров, связанных с ЕМП, более 1 000 000 000 рублей! При этом АПИ дневника закрывается по щелчку пальцев.

    Итоги


    Вообще удивительно, как после выхода в публичное поле, ДИТ испугался и из-за этого сменил причину отключения АПИ, прикрывшись детьми. Сам факт изменения причины уже говорит о том, что правда где-то в другом месте, но давайте разберем ответ?

    В своем ответе Ермолаев сказал, что отключение АПИ из-за рекламы, хотя после того случая с рекламой меня разблокировали и 8 месяцев никаких претензий от них не поступало.

    Он сказал, что это из-за безопасности, хотя ДИТ никогда не волновался о детях просто потому, что данные из ЕМП передаются по http, логины и пароли большинства детей совпадают, да и вообще: данные в ЕМП обезличены.

    Он сказал, что это из-за персональных данных (оценки), но в ЕМП почему-то остались методы, которые работают со штрафами, а там вообще-то настоящая персональная информация.

    ДИТ говорит, о нарушении каких-то пунктов, что из-за меня было получено огромное количество жалоб, Ермолаев что-то сказал даже про суд, но почему я не получил от вас ни одного письма? В моем понимании это означает, что жалобы выдуманы.

    ДИТ, вы говорите, что налогоплательщики не готовы платить за АПИ, но давайте не принимать решение вместо людей? Давайте будем судить не на основе чьих-то отдельных интересов, не на основе: «я так думаю, а значит остальные думают так же», а на основе опросов? Вы спросили у людей чего хотят они?

    Вот я спросил. И здесь 1000 отзывов от детей и родителей. Может вы их послушаете?




    После первой статьи ДИТу пришлось сказать, что они закрывают вообще все приложения и я в это даже поверил, но тут наткнулся на пост в ВК:



    И вроде бы обычный коммент, но когда вспоминаешь, что Тактик Лабс == Альтарикс, то смысл получается совсем другим. А-ля «далеко не уходите».

    Чем же еще занимается Альтарикс?


    В прошлой статье я уже рассказывал про сайт cloud4smartcity.com(На ваших глазах произошел сильнейший хабраэффект в истории! Сайт не просто упал, но еще и удалился)
    У этого сайта есть сосед boomerang.cloud4smartcity.com, на нем от лица FIREGLIDE рекламируются разработки.

    Хм… FIREGLIDE? Что-то знакомое… Точно! Компания ООО «ТактикЛабс» находится в собственности у ООО «ФЕЙРГЛАЙД».

    Пробиваем владельца домена cloud4smartcity.com и видим, что это LLC «Altarix». Никаких вопросов не остается.

    Чем же занимается FIREGLIDE? Находим сайт fairglide.com, который уже предусмотрительно удалили. Вот, например, на одной из страниц продается приложение «Госуслуги».



    Удобно, да? Разрабатываешь приложение за деньги государства, а потом продаешь его несколько раз зарубеж!

    Дальше находим выступление одной из сотрудниц на конференции GovTech:



    По запросу «fairglide govtech» находим презентацию той самой Екатерины Соловьевой. На ней мы видим рассказ о достижениях компании FairGlide, как разработчика «BOOMERANG PLATFORM: NEW TOOLS TO SCALE YOUR SMART CITY PROJECTS». В презентации рассказывается, что на этой платформе создано приложение МосРобот, сервис «Наш Город», Активный Гражданин и «CLEAN CITY SELANGOR».

    CLEAN CITY SELANGOR — сервис, созданный для города Селангор, что находится в Малайзии. Круто?

    И кто-то скажет: «Альтарикс частная компания, почему бы им и не торговать тем, что они разработали?», но вопрос исключительно в том, что подряды, которые получает Альтарикс происходят без конкурса.

    Это или закупка у единственного поставщика, или тендер выигрывает ОАО «Электронная Москва» (Учредитель ДЕПАРТАМЕНТ ИМУЩЕСТВА ГОРОДА МОСКВЫ), но каким-то образом разработкой все равно занимается Альтарикс. А раз без конкурса, значит это исключительная собственность Москвы и никого больше.

    При этом, да, было бы отлично, если бы мы могли вернуть деньги, потраченные на тендер, обратно в бюджет, но FairGlide, к сожалению, не государственная компания, а значит деньги полученные от кейсов идут куда-то в другую сторону. Не зря же они чистят все свои сайты?

    И что теперь?


    А сейчас хотелось бы узнать ответ от ДИТ, причем ответ на всю статью, а не попытку доказать, что я какой-то хакер, маргинал и порно-барон.

    1. Мнение ДИТ об отзыве 1000 людей
    2. Отношение ДИТ к деятельности Альтарикс
    3. Отношение ДИТ к ООО «Тактик лабс».

    Про приложение


    Свое приложение я никому не отдам. Буду бороться за него, пока не переберу все варианты, которые вообще существуют. Просто потому, что решение о закрытии основано не на логике, не на опросе жителей, не на технических сложностях, а на желании заработать.

    Я знаю, что у меня есть полезный проект, который любят пользователи. Я вижу, что 1000 человек отреагировало на простейший пост в ВК, а значит правда на нашей стороне!
    Самое приятное, что у меня есть поддержка! Спасибо всем!


    Via Лентач

    Ложка меда в бочке дегтя


    Александр Плющев предложил руководителю ДИТ встретиться со мной на радио Эхо Москвы. На данный момент Ермолаев Артём Валерьевич согласился. Событие произойдет в начале сентября, точную дату я постараюсь осветить на Хабре.

    Будем надеяться, что они не откажутся, как отказались от встречи на радио Медиаметрикс, которая все равно пройдет, но без ДИТ.

    Метки:
    Поделиться публикацией
    Реклама помогает поддерживать и развивать наши сервисы

    Подробнее
    Реклама
    Комментарии 227
    • +4
      Добавь Twitter\vk в habrahabr профиль, пожалуйста.
      • +2
        image
        Вот же они
        • +4
          В профиль, как у Milfgard.
          По профилю искать удобнее чем через статью.
      • +18
        Молодец, продолжай в том же духе. Сила в правде)
        • +5
          Имхо, им проще было выкупить вас и ваше приложение. Интересно чем закончится.
          • +33
            С увереностью в 99% могу сказать что дит так и будет гнуть линию что автор «какой-то хакер, маргинал и порно-барон».

            Т.к. новый ягуар на бесплатное приложение не купишь.
            • +2
              Можно было бы сделать базовое бесплатное приложение, а отдельно платное с доп функционалом.
              Я к тому, что порой бизнесу дешевле купить конкурента, чем давить.
              • +5

                Зато "крепкие хозяйственники" же.

                • +2
                  Бизнесу, да — удобнее и логичнее.
                  Вору и бандиту — удобнее иначе.
                  Он просто не понимает зачем нужны эти бизнес-шмизнес подходы, когда тут занес, там подмазал, все довольны, всем хорошо ж!
            • +15
              Половина дела уже сделана — вы тратите силы не на созидание, а на возню, в то время как «конкуренты» заняты делом.
              Вам бы найти представителя ( энтузиаста? ), который бы помогал с этой бюрократической вознёй, а вам дальше заниматься «своей работой» — разработкой (этого или другого продукта).
              Тогда есть шанс, что энергия у вас не угаснет, а не сгниёт под тяжестью госмашины.
              • –46
                Мне непонятны претензии по поводу коммерческого использования продукта, разработанного в рамках гос. контракта. Наоборот, это очень круто, развитие бизнеса и всё такое. Только так и должно быть.
                Ну и вставки с избранными отзывами и робкое «коррупция» в тегах выглядит как хреновая попытка манипуляции читателем. Не надо так.
                • +44
                  Вы серьезно считаете, что мои деньги должны идти на поддержку чьей-то там частной конторы без моего на то ведома?
                  • +19
                    Серьезно считаю и еще считаю, что все разработки для гос-ва должны быть open source и их применение должно быть неограничено.
                    • +20
                      Отличный план! Собираем 1млн налогов, заказывает на деньги граждан софт у ООО «РиК», а исключительные права на софт не получаем. В итоге, «РиК» торгует софтом и получает бабло, хотя разработка была осуществлена на деньги граждан.
                      Вопрос Open Source, Open Documentation и прочего — скользкий и сложный. Должны ли быть открыты исходники сайта «Госуслуги», к примеру?
                      • +6
                        Вы же доверяете им свои персональные данные. Было бы неплохо знать, что именно там и кому отправляется.
                        • +4
                          После того, что мы у них там нашли и их реакции на находку — не доверяю тем более, не доверял и ранее. В общем, вопрос скользкий и сложный и выходит за рамки конкретно обсуждаемого случая. Но если вы опубликуете свои рассуждения отдельно — будет интересно почитать.
                          • +6

                            у многих операционных систем открытые исходники.
                            Открытые исходники позволяют сразу найти серьёзные ошибки + возможность сообщества улучшить их.
                            Кто знает, кто занимается разработкой приложения? Мб это свежеиспеченный студент, не разу не работавший с созданием вебсервисов? (как это порой бывает).


                            Но есть профессионалы, у которых глаз наточен на поиск ошибок. Сам понял это, когда после универа мы с другими студентами делали проект, а потом его "защищали" перед ребятами с опытом. Они за 15 минут найдут ошибок больше, чем студенты за пол года.


                            Открытие исходных кодов не повредит — если ошибка есть, то её итак найдут, а с исходниками есть шанс, что её заметят быстрее.


                            ИМХО Опенсорс и открытые данные — это то к чему должны идти все государства.

                            • –3
                              Я скажу одно слово — HEARTBLEED.
                              • +11
                                Думаю, если бы не открытые исходники openssl, то об этом словечке знали бы только на подпольных рынках уязвимостей.
                                • +4
                                  Не факт… Но «Открытые исходники позволяют сразу найти серьёзные ошибки» — мягко скажем не соответствует действительности.
                                  • +3
                                    А еще примеры будут?
                                    Heartbleed прекрасный пример того, что ошибку нашли благодаря Open Source.
                                    Да, OS не идеальная концепция и гарантии безошибочности не дает. Она просто увеличивает шанс, что ошибка будет найдена.
                                    • +3
                                      Это еще и прекрасный пример того, как долго ошибку не находили даже с открытыми сорцами.
                                      • +6
                                        Верно. И нашли. А в случае с проприетарщиной — не нашли бы. Потому что не имели бы доступа к исходникам.
                                        • 0
                                          «не нашли бы. Потому что не имели бы доступа к исходникам.» — на чем основано утверждение кроме вымыслов? Сплошь и рядом находят уязвимости, работая с «черным ящиком».
                                          • +5
                                            Утверждение основано на том, что ошибку нашли аудиторы, а не тестеры или авторы.
                                            • 0
                                              То есть, если ошибку находят в сорцах, ее невозможно найти без сорцов? Справедливо во всех случаях? Ответ на оба ответа — очевидно НЕТ.
                                              • +6
                                                Конечно возможно. Но нашли в сорцах.
                                                В проприетарном софте искали бы как минимум дольше. В лучшем случае. Если бы вообще нашли.
                                                OS дает лучшие шансы найти ошибку и всё. Не 100% шансы. Просто лучшие. Этого достаточно.
                                                • –7

                                                  В проприетарном софте исали бы не дольше. Потому что у серьезного секьюрити аудита проверка исходников занимает далеко на самый большой кусок работы.

                                • +2
                                  я скажу другое: WannaCrypt

                                  для государства важность получения исходников с документацией соответствующей стандартам по госзаказу это в первую очередь способ контроля вот таких вот распилов, во вторую способ экономить деньги бюджета( не покупая одно и то же решение трижды, а то и чаще), дальнейшая публикация исходников тут предпочтительна для упрощения дальнейшей поддержки общественно важных сервисов в актуальном состоянии и снимает все вопросы недобросовестной конкуренции.

                                  причина по которой подобный переход тормозится уже десятки лет в том что получать откаты и вести бизнес с карманными депутатами всё ещё нормально для России и большинства других стран. я хочу тысячу долларов сейчас а не светлое будущее для всех через 10 лет.

                                  а ещё работу по приёмке госсзаказа у подрядчика придётся перевести из разряда выпить шампанского или что там пьют в кабинетах, до реальной работы, а к такому мало того что многие не готовы, так и вовсе не способны.
                                  • +1
                                    Опен-сорс позволяет исправить ошибку даже не силами первоначального разработчика и многократно использовать уже созданный код.
                                    С разработчиком openssl интересная ситуация — да, он допустил ошибку в коде, которая стала уязвимостью, но у него не было денег не на аудит кода, ни вообще, в целом, денег. Его библиотекой пользовались миллионы инсталляций, а автор перебивался как мог. Опять же, никто не мешал, при желании, любой сторонней крупной организации, использующей эту библиотеку, заказать аудит кода.
                                  • 0

                                    Ну окей, найдут ошибку и что? Вы действительно считаете, что компания, которая отхватила денег от гос. будет заниматься поддержкой мелких багов да и вообще выкладывать свою работу в открытую? Этого не будет просто потому что это НЕВЫГОДНО.

                                    • +2
                                      именно поэтому подобное требование должно быть закреплено на законодательном уровне потому-что государству работающему в интересах граждан и эффективного расходования бюджета это выгодно.
                                      • +2

                                        Так государство может попросить выкладывать (и на мой взгляд, должно). Оно заплатило за разработку и должно владеть правами.

                                      • 0
                                        Открытые исходники позволяют сразу найти серьёзные ошибки

                                        Это в лучшем случае миф, в худшем случае ложь.

                                        • 0
                                          позволяют. но вопрос не в поиске ошибок, а в возможностях. это как если бы ты не мог отнести яблоко на независимую экспертизу и узнать что в нём нитраты а вынужден был бы доверять производителю что он сделал проверку.
                                          • –1

                                            Если бы они позволяли, да еще и «сразу», то в опенсорсе не было бы серьезнейших ошибок, не закрываемых годами.

                                            • 0
                                              Во-первых СПО, а не опенсорс
                                              Во-вторых их там и нет

                                              Или покажи мне хоть одну дыру в безопасности СПО, о которой было известно более чем за месяц до закрытия
                                              • +2

                                                Вопрос не в «дыра, о которой известно месяц до закрытия». Напомнить первоначальный тезис?


                                                Открытые исходники позволяют сразу найти серьёзные ошибки

                                                ^ ложь


                                                За примерами далеко ходить не надо. Все что угодно от дырявого, как решето OpenSSL до последних CVE для гит'а, меркуриала и SVN. Дыры, которые существуют годами. А когда их в итоге находят, то да, начинается паника «о боже, как так можно, надо срочно пропатчить». Собственно, ничем не отличается от софтвера с закрытыми исходниками.

                                                • 0
                                                  Ты давай не демагожь мне тут.

                                                  Я отвечал на второначальный тезис про незакрываемые годами ошибки.

                                                  То, что ошибки в принципе есть — никто не сомневается.
                                                  Но вот то, что они не закрываются сколько-нибудь значительное время — кобылы сивой ахинея.

                                                  Ибо как только неизвестная ранее уязвимость станет использована хоть где-нибудь — о ней очень быстро станет известно.
                                                  Но, в отличие от проприетарщины, монополист не помешает сделать патч.

                                                  И часто о проблемах становится известно ещё до эксплуатации, потому что у медали «наварить бабла на чужом горе» есть обратная сторона: «рассказать сообществу об уязвимости и сделать себе этим репутацию». Репутация часто бывает дороже денег и не редко идёт с ними в комплекте.
                                                  • 0
                                                    Ты давай не демагожь мне тут.

                                                    Демагогия — это «вот как только узнали, сразу закрыли».


                                                    Весь изначальный тезис про «сразу находить ошибки» и большинство мифов типа «миллионы глаз» говорят об одном и том же: открытый код позволяет находить ошибки быстро и вообще лучше закрытого кода именно потому что ошибки находятся сразу миллионами глаз (и прочие вариации на эту тему).


                                                    Это — ложь. Серьезные ошибки существуют в опенсорсе годами. То, что про них не знает значительная часть опенсорса до тех пор, пока что-нибудь типа heartbleed'а не становится достоянием общественности, — это слабое утешение.


                                                    Но, в отличие от проприетарщины, монополист не помешает сделать патч.

                                                    В отличие от проприетарщины опенсорс не несет репутационных потерь и патч может быть легко не принят. Или просто не найдутся люди, вообще способные решить проблему (в частности, для полного аудита OpenSSL нужны специалисты, которые стоят невменяемых денег и которых можно пересчитать чуть ли не по пальцам одной руки. Неудивительно, что в итоге аудит спонсируется теми самыми «монополистами»).


                                                    И вообще, весь разговор про опенсорс обычно упирается в один и тот же миф: опенсорс лучше потому что он опенсорс. Хотя уже есть далеко не одно исследование, что опенсорс и клозедсорс — близнецы-братья, потому что и тот и другой пишутся людьми.

                                                    • 0
                                                      тоесть поэтому государство должно заказывать по у всяких альтариксов и потом смиренно сидеть и говорить, что-вы, да это их код он такой хороший, он целых 10 тыщ запросов в секунду обрабатывает, а какой безопасный, не даром исходники закрыты, это что-бы школьники себе оценки не взломали, да. да эти святые люди нам за такой бесценок всё сделали, что наверное в убытке остались пуска они свои наработки ещё пару раз продадут, а мы как в бюджете денег выбьем дадим им ещё подработку какую… ну там сайт же обслуживать надо, а кто кроме них сможет? там же код военного уровня!

                                                      я конечно передёргиваю сейчас, просто на случай если вся эта хурма про безопасность была только для отвода глаз от проблем контроля и необходимости этот контроль закрепить законодательно для всех подобных контрактов.
                                                    • 0

                                                      О том что есть CVE-2017-1000376 знали более 5 лет назад. Пока PoC не опубликовали и CVE не заassignили никто не шевелился закрывать

                                                    • 0

                                                      Если ничем не отличается, в чем проблема открыть исходники госуслуг тогда?

                                                      • 0

                                                        Это общий вопрос почему не открыть. Ответы обычно из серии интегрирован сторонний код, используется запатентованные технологии(в коде) без уплаты лицензий, стыдно за легаси-*овно

                                                        • 0

                                                          Когда государству надо, оно и Гуглу условия ставит. Если в данном случае государство скажет — сделайте так, что бы можно было исходники открыть — напрягутся и сделают. А пользы с этого больше, чем с недавних мусорных законов.

                                                          • 0
                                                            Или пошлют куда подальше если есть риск огрести иски в других странах(как в случае использований запатентованных технологий без лицензирования или иных правовых аспектов на код). Что лучше продукт с закрытыми исходниками или отсуствие продукта вовсе?
                                                            • 0

                                                              На какой ответ вы намекаете, понятно, но я бы предпочел лишний год-два без продукта, а потом, при необходимости, с открытыми исходниками сделают. Если речь о государственных деньгах, конечно. Частная компания может закрывать, если очень уж хочется.

                                                      • 0
                                                        фраза: «Открытые исходники позволяют сразу найти серьёзные ошибки» не является ложной, но если вы читаете её как «Открытые исходники гарантируют отсутствие серьёзных ошибок» то вы просто не умеете читать. более того даже «Закрытые исходники позволяют сразу найти серьёзные ошибки» но это сделать намного сложнее…

                                                        тут следовало либо дополнить ситуацию информацией, либо не пытаться опровергнуть корректную, но неполную информацию.

                                                        в дальнейшем стоит перейти к обсуждению тезиса: открытое ПО даёт обществу больше возможностей контроля качества. а именно контроль и возможности в данном случае важны.
                                                        • 0
                                                          фраза: «Открытые исходники позволяют сразу найти серьёзные ошибки» не является ложной

                                                          Большой толковый словарь:


                                                          СРАЗУ, нареч.


                                                          1. В один приём; одним разом.
                                                          2. В тот же момент; немедленно.
                                                          3. Рядом, в непосредственной близости от чего-л.

                                                          Какое значение ни бери, фраза ложная.


                                                          в дальнейшем стоит перейти к обсуждению тезиса: открытое ПО даёт обществу больше возможностей контроля качества. а именно контроль и возможности в данном случае важны.

                                                          Не дает. Качество зарытого и открытого ПО примерно одинаковое, исследования уже проводились.

                                                          • 0

                                                            Такой холивар развели.
                                                            Серьёзная ошибка — в данном контексте — ошибка, допущенная невнимательностью/некомпетенцией, которая может быть причиной уязвимости. Люди с опытом могут "сразу" найти такие ошибки.
                                                            Речь не про "все критические ошибки".


                                                            Например: создание запросов конкатенацией строк. Да, все знают что это плохо, но они частенько находятся в коде и на некоторых сайтах работают sql-инъекции.
                                                            Второй пример(который по-сути можно было видеть и без сорсов) — Content Security Policy на сайте Гос.Услуг.
                                                            Опять же — все знают что это одна строчка, которая добавляет защиты, но почему-то её не было.

                                                            • 0
                                                              Серьёзная ошибка — в данном контексте

                                                              О, уже пошли поиски контекстов


                                                              ошибка, допущенная невнимательностью/некомпетенцией, которая может быть причиной уязвимости.

                                                              Ничем не отличается от любой другой ошибки. Ни «опенсорнсность» ни «СПОшность» кода не способствуют нахождению этой ошибки сразу.

                                                              • 0
                                                                О, уже пошли поиски контекстов

                                                                То предложение, на которое вы постоянно ссылаетесь написано мной. Я говорю, что я подразумевал под этими словами, пускай я и выразился не ясно.


                                                                Ничем не отличается от любой другой ошибки

                                                                Программисты со стажем видят такие ошибки мгновенно. А опенсорс повышает вероятность, что её найдут, даже если при разработке скажут "давай комить без ревью — её надо было ещё вчера сделать".

                                                                • +1
                                                                  Программисты со стажем видят такие ошибки мгновенно.

                                                                  Ну да. Простейшие типа конкатенации строк в sql-запросе. И при этом они остаются в top-10 OWASP из года в год. Как-то не помогают «программисты со стажем».


                                                                  А опенсорс повышает вероятность, что её найдут

                                                                  Не повышает. Миф о «миллионе глаз» всего лишь миф.

                                                                  • +1
                                                                    Программисты со стажем видят такие ошибки мгновенно.

                                                                    Ой, ну ради бога… Shellshock существовал 25 (прописью — двадцать пять) лет. Сколько "программистов со стажем" и какого уровня за это время видели этот код — можете себе представить.

                                                              • 0
                                                                вы игнорируете слово позволяют, цепляясь за слово сразу. это ошибка.

                                                                вы также игнорируете слова «возможностей контроля» оставляя даёт больше качества… с подобной выборочностью восприятия вы далеко не уедете, увы.
                                                                • +1

                                                                  Я не игнорирую реальность.


                                                                  Количество ошибок в опенсорсе/СПО не меньше и не больше, чем в закрытом софте. Так что «позволяет» или «повзоляет сразу» — это миф, граничащий с ложью


                                                                  «возможности контроля» — это вариант мифа про «миллионы глаз». Нет там возможностей контроля, если только не считать какие-нибудь совсем простые проекты, в которых может разобраться даже Вася Пупкин с двумя классами образования. Могу просто повторить еще раз: для грамотного аудита того же OpenSSL нужны специалисты, которых можно пересчитать по пальцам на руках. Это — большие возможности для контроля? «Позволяют сразу найти»? Рассказывайте эти сказки на LOR'е.

                                                                  • +1
                                                                    специалисты нужны, про миллион глаз речи нет. мы тут о возможностях, а не о кинетике. зачем вы сражаетесь с мельницей которую принесли с собой и заведомо побеждаете? (мне не интересно, я просто не понимаю такой подход за пределами идеологической войны, когда существует необходимость склонить людей за или против..)
                                                                    Аудит закрытого кода нельзя провести независимо от разработчика — отсутствие возможности.
                                                                    Аудит открытого кода может провести любой специалист без ведома разработчика — возможность.

                                                                    не нужно смешивать фундаментальные возможности подходов и уровень компетентности при их реализации.

                                                                    ликбез по логике проводить не буду, кому интересно сами разберутся.

                                                                    • 0

                                                                      Вы продолжаете разговаривать о каких-то мифических возможностях из области чистой теории.


                                                                      На практике и в реальности качество кода и продуктов у опенсорса и «клозедсорса» одинаковое. То есть и количество багов, и количество проблем, и прочее и прочее и прочее.


                                                                      Все остальное — демагогия, к реальности не имеющая отношения

                                                                      • 0
                                                                        если называть простые и проверяемые факты мифами, это не предвзятое игнорирование, то мне больше не о чем вам сказать, извините. могу только гадать насколько легендарным для вас выглядит этот текст( тут сложная шутка, можете игнорировать).
                                                                        • 0
                                                                          если называть простые и проверяемые факты мифами

                                                                          Ээээ. В том-то и дело, что это не факты, а что ни на есть самые настоящие мифы. Сравнительные исследования качества софта уже проводились. Опенсорс ни по каким параметрам не лучше (и не хуже) клозедсорса.


                                                                          Но я понимаю, что если «факты» не соотносятся с реальностью, тем хуже для реальности, ага

                                                                          • 0
                                                                            вот это вы сейчас классно сравняли две разные парадигмы с разным набором параметров и вывели что по всем параметрам они совпадают( не лучше и не хуже) так недолго и до вывода что мёртвый человек от живого не отличается.

                                                                            перечитайте простые тезисы, описывающие простые факты и прекратите добавлять к ним свои домыслы.

                                                                            давайте ещё сравним кирпичи и доски и увидим что в реальности они абсолютно одинаковые: возьмём кирпич, но только сделаный из дерева и доску, но только в форме кирпича… эта шутка уже возможно лишняя и избыточная, но неплохо утрирует суть происходящего в этом тупиковом обсуждении(потому что все тезисы уже изложены выше и кроме повторного их переосмысления добавить уже нечего, выводы каждому свои).
                                                                            • 0
                                                                              перечитайте простые тезисы, описывающие простые факты и прекратите добавлять к ним свои домыслы.

                                                                              А прочитал эти «простые факты». Никаких домыслов. Только реальность: эти «факты» в реальности — мифы.


                                                                              давайте ещё сравним кирпичи и доски и увидим что в реальности они абсолютно одинаковые

                                                                              Да-да. Давайте возьмем побольше идиотских аналогий.

                                                                              • 0
                                                                                я надеюсь где-нибудь есть хорошая методичка по логике что-бы я мог просто кидать на неё ссылку, потому что мне тяжело объяснять без сложных аналогий… хорошо оставим это оффтопное дело с логическим восприятием и поговорим о конкретном примере что-бы было понятно о чём идёт речь: государство через тендер заказало разработку ПО и в случае

                                                                                а) получило закрытый код( возможно код даже был показан аудитору и было подтверждено что в прод ушли бинари скомпиленные именно из вот этого кода, но это не точно и в общем случае не гарантировано)

                                                                                б) открытый код( который обязательно был показан аудитору и естественно в прод ушли скомпиленные из этого кода бинари, тут уже неотъемлемая возможность контроля)

                                                                                качество этого кода находится на одном уровне и количество ошибок тоже, но безопасность использования открытого кода при том же количестве ошибок выше, по одной простой причине: возможность поиска ошибок, скорость их исправления, качество аудита и многое другое больше не утыкается в потолок возможностей фирмы разработавшей ПО( а практика показывает что такие фирмы иногда вообще исчезают вместе с исходными кодами) и при желании\необходимости может быть повышено.

                                                                                всё та же гарантированная парадигмой открытого ПО возможность, против отсутствия возможности у закрытого ПО.

                                                                                но тут мы несколько ушли от «возможности» найти что-то сразу к возможности исправить что-то сразу что в общем-то даже важнее.(напомню у авторов закрытого ПО тоже есть возможность всё сразу найти и всё сразу исправить, в силу того что для них этот код является открытым.)

                                                                                но главный вопрос который волнует лично меня это: стало ли вам ясно что позволение сделать что-то сразу, согласно логике не приводит к тому что это что-то будет сделано сразу?

                                                                                аналогию про проприетарный водопровод сами придумывайте, там конечно физически код не спрячешь только административно, но для понимания принципов достаточно.
                                                                                • 0
                                                                                  я надеюсь где-нибудь есть хорошая методичка по логике что-бы я мог просто кидать на неё ссылку

                                                                                  Да, было бы хорошо такую найти. Мне она не нужна, правда. А вот тебе вполне понадобится.


                                                                                  качество этого кода находится на одном уровне и количество ошибок тоже, но безопасность использования открытого кода при том же количестве ошибок выше, по одной простой причине: возможность поиска ошибок, скорость их исправления, качество аудита и многое другое больше не утыкается в потолок возможностей фирмы разработавшей ПО( а практика показывает что такие фирмы иногда вообще исчезают вместе с исходными кодами) и при желании\необходимости может быть повышено.

                                                                                  Повторю в последний раз: реальность, а не твои хотелки и слепая вера в мифы, говорит о том, что вся эта фраза ложна. Это — факт. Можно много разглагольствовать, рассказывать о каких-то мифических возможностях, но факт остается фактом — софт с открытым исходным кодом ничем не лучше и не хуже кода с закрытым исходным кодом. Качество кода одинаковое. Количество ошибок одинаковое. Скорость исправления ошибок одинаковая. Опасность и серьезность ошибок одинаковая.


                                                                                  Понятно, что немного упрощено. Что в каких-то единичных случаях наличие исходных кодов может помочь с чем-то там. Что не отменяет всей картины в целом. Вплоть до того, что опенсорс в своей массе не несет репутационных потерь, и срать хотел, например, на исправления ошибок (примеры — сплошь и рядом).


                                                                                  Возвращаясь конкретно к описываемому в посте софту. Закрыт он, или открыт — в случае с российским государством это не имеет никакого значения. Потому что государственный софт в Росси делается не для заявленных софтом целей. Будь там открытый код, авторы кода так же плевать хотели бы на ваши хотелки, закрывали бы API и доступ к данным и прочая и прочая и прочая. И все — абсолютно в рамках опенсорса.


                                                                                  но главный вопрос который волнует лично меня это: стало ли вам ясно что позволение сделать что-то сразу, согласно логике не приводит к тому что это что-то будет сделано сразу?

                                                                                  Это — бессмысленное словоблудие.


                                                                                  аналогию про проприетарный водопровод сами придумывайте,

                                                                                  Любые доказательства по аналогии ложны, поэтому придумывать какой-то бред про какие-то водопроводы не собираюсь.

                                                                                  • +1
                                                                                    мне кажется или вы продолжаете не понимать разницу между «позволяет» и «обеспечивает» и то что именно эта разница превращает фразу из ложной в истинную.

                                                                                    как я уже говорил в силу специфики я не умею доносить смысл без сложных аналогий понимание которых может быть затруднено.

                                                                                    для себя делаю вывод что начальную фразу вы так ни разу полностью и не прочитали( в данном случае в прочтение фразы мы также включаем понимание смысла как отдельных слов так и смысла самой фразы, который в данном случае весьма однозначен)… увидели частичный паттерн знакомого тезиса — сработал рефлекс опровергнуть. это нормально так работает человеческий мозг… отбрасывает реальные детали там где вероятность ошибки мала и достраивает их домыслами, так намного быстрее, но есть грустный побочный эффект — искажение восприятия объективной реальности… и да всё это обсуждение бессмысленно до тех пор пока вы не начнёте читать внимательно.

                                                                                    будьте внимательнее.
                                                          • 0

                                                            Я таки думаю, что все же должен быть open source дабы не плодить стандартов

                                                            • 0
                                                              Мы не в госдуме, а в человеческом мире (я надеюсь).
                                                              Тут не думать надо, а проводить анализ и делать выводы:

                                                              Опенсорц == открытый исходный код
                                                              СПО == свободное программное обеспечение
                                                              Вещи похожие с точки зрения потенциальной возможности проведения аудита безопасности, но юридически не имеющие ничего общего кроме собственно исходников.

                                                              Я таки обоснованно полагаю, что вещи надо называть своими именами, чтобы тупая безграмотная толпа не отупевала ещё сильнее от того факта, что тёплое выдают за мягкое.

                                                              Выгодно это, несомненно, производителям проприетарщины — когда толпа не понимает, что права на софт вообще могут быть (а не только обязанности, привет из EULA), то и требовать этих прав она не будет ни у вендора напрямую, ни через государство.

                                                              Лицензирование софта — вопрос крайне сложный.
                                                              И, как нам всем известно, у любой сложной проблемы всегда есть простое и заведомо неверное решение.

                                                              TL;DR: стандартов вообще нет, а схем распространения, в корне разных, есть так много, что не хватит и жизни чтобы их все пересчитать. Так что понятия придётся использовать разные, как бы копирастам ни хотелось ввести всех в заблуждение.
                                                              • 0

                                                                Я прекрасно понимаю разницу между открытыми исходниками и свободным обеспечением. Я не считаю, что государственные штуки должны быть в публичном домене/СПО. По крайней мере не то что вертится в проде как франкинштейн из прочих технологий.

                                                                • 0
                                                                  > понимаю разницу и считаю что надо вводить людей в заблуждение

                                                                  Аргументы за СПО уже были.
                                                                  В качестве аргументов против пока была только астральная ахинея уровня «да кто ж на такое пойдёт».

                                                                  NASA, вот идёт, и ничего. Пока всё хорошо у них.
                                              • +2
                                                Ну ваша цель при управлении государством — не абстрактная правда и справедливость, а конкретные социальные и экономические эффекты. Удачи вам в таком случае в поиске адекватных подрядчиков с условиями «потом мы ваши разработки забираем себе».
                                                • 0
                                                  Деньги добавляют +100 к удаче.
                                                • +1

                                                  Вопрос open source не сложный и не скользкий. Да, исходники сайта госуслуги должны быть открыты. Какой смысл их закрывать? Безопасность через скрытность? Если госуслуги дырявые — дырки нужно закрывать (выплачивая деньги за раскрытие уязвимостей), а не пытаться скрыть.

                                                  • +1
                                                    Сначала этими уязвимостями воспользуются, сольют все персональные данные. А там может кто-нибудь и сообщит об ошибках.
                                                    Это явно не та сфера, где можно просто давать деньги за баги, т.к. стоимость уязвимости скорее всего будет многократно выше той суммы, которую готово было бы заплатить государство. Там ведь кладезь информации, по которой можно провести миллионы мошеннических схем.
                                                    • +2

                                                      Так ими же все равно воспользуются. Какая разница?)

                                                      • +1
                                                        Разница в цене поиска уязвимости. Если код открыт, можно найти намного больше, нежели тыкаясь в черную коробку. Для поиска уязвимостей, я думаю, в таких случаях нужно нанимать аудиторов-безопасников, которые и найдут тебе эти баги за плату.
                                                        • +4

                                                          Безопасность через сокрытие уязвимостей почти бессмысленна.


                                                          1. Если там есть серьезные ошибки в логике, и аудиторы-безопасники их не нашли, это ошибки будут эскплуатироватся годами и продаватся везде. В таком случае будет лучше, если кто-то другой просмотрит код от нефиг делать и укажет на ошибку.
                                                          2. Как уже указали раньше, исходники при желании можно очень легко достать. Стек технологий, на котором все разрабатывалось — тоже.
                                                          3. Количество найденных проблем так же увеличится.

                                                          В современном мире фреймворков, по факту, никто не должен писать такие вещи как авторизация и прочие штуки, которые могут быть подвержены ошибкам. А недостатки в бизнес-логике в духе "у меня больше полномочий, чем нужно", находятся очень легко.

                                                          • +1

                                                            Вариант с закрытым аудитом перед публикацией?

                                                        • 0

                                                          Вы утверждаете, что госуслуги — это решето, которое держится только на секретности исходников? Вы можете это как-то подтвердить? Если это реально так, я бы не доверял безопасности через сокрытие (исходники можно слить, в конце концов), а предложил бы закрыть совсем, до устранения уязвимостей. Там слишком много персональных данных, что бы так рисковать, вы сами сказали.

                                                          • +1
                                                            Я этого не утверждал, соответственно и подтверждение/опровержение этого высказывания полностью ваша забота.
                                                            Я же говорю, что как бы сильно не пытались закрыть все баги внутри компании, они все равно с большой вероятностью есть. Если выложить исходники, то злоумышленники найдут еще больше уязвимостей, чем без них. Говорить о них, конечно, никому не будут.
                                                            • +1

                                                              Если госуслуги не решето, то в чем заключается ваше утверждение? Что закрытый код безопаснее, чем открытый? Или этого тоже не утверждаете? Я полагаю наоборот, открытый код безопаснее. Потому что возможен независимый аудит. Да, переходный период нужно делать аккуратно и постепенно, но нужно обязательно.

                                                            • 0
                                                              Если б вы знали, как местами пишется софт для тех же госуслуг.
                                                              • +1

                                                                Если он опасный, то его нельзя пускать в продакшн и без исходников. Позиция "никто не видит исходников, значит проблемы как бы и нет" — ущербна.

                                                            • +2

                                                              Уязвимости, по которым можно "слить все персональные данные", программисты со стажем видят сразу.


                                                              А мне интересно "Солят" ли пароли? Многие люди используют один и тот же пароль везде, а у "ГосУслуг" широкая аудитория "слабо технически подкованных граждан"


                                                              • все сразу заметили отсутствие Content Security Policy. Если бы решение было опенсорсное, то пуллреквест на добавление пришёл в первые 2-3 дня. И всей той истории с самим сайтом госуслуг не было бы.
                                                        • 0
                                                          пока по подобным контрактам заказчик не получает права на код платформы и не получает решение под ключ со всеми исходниками и документацией… такие истории продолжатся в каждом втором госпроекте…
                                                          • 0
                                                            Все в руках того, кто заключает и подписывает контракт, а потом следит за его исполнением. И пока эти руки заинтересованы и ненаказуемы — Вы правы: «такие истории продолжатся в каждом втором госпроекте».
                                                          • 0
                                                            Применение, а не продажа. Если мы, как граждане страны, скинулись и заказали что-то разработать, то теперь это принадлежит нам (гражданам). И выгода от использования этого должна также идти нам (гражданам). Продавайте и возвращайте бабло в бюджет, например за вычетом процента за услуги коммерции. А отдельно продавайте свою поддержку к этому ПО и берите эти деньги себе.
                                                          • –6
                                                            Абстрагируемся от конкретной ситуации и компании. Схема при которой частная контора делает продукт для государства, а потом на этих разработках развивается, мне кажется идеальной в плане траты гос. денег.
                                                            • +12
                                                              Развивается — одно. Продает продукт, разработанный на деньги граждан — другое.
                                                              • –9
                                                                А что делать? Не продавать? Эксклюзивные права гос-ву убьют весь проект довольно быстро, учитывая «эффективность» этого самого государства. Положить в сейф и забыть ещё можно, как в ВПК (насколько я знаю) сейчас происходит.
                                                                • +24
                                                                  Если государство покупает РАЗРАБОТКУ проекта, то права должны остаться у государства. Если покупает копию проекта, то это другое дело и цена другая.
                                                                  • –13
                                                                    Как я уже здесь писал, права у государства = мёртвый проект. Но это моё личное мнение.
                                                                    • +13
                                                                      Все-таки тендер — собственность народа. Или каждый должен иметь возможность продавать, или гос-во, или никто
                                                                      • 0
                                                                        Американская электроника так и выросла разрабатываем процессор за деньги государства и продаем всем
                                                                      • 0
                                                                        Писать то писал, но никак не аргументировал.
                                                                      • +8
                                                                        Все результат разработок по программам DARPA — принадлежат разрабам (но могут заключатся допсоглашения).
                                                                        В США это достаточно стандартная практика — государство оплачивает разработку, после чего разработчики свои труды в других, уже коммерческих проектах.
                                                                        Половина IT растет из коммерциализированных американских госзаказов. Да что говорить — ИС были изначально созданы для нужд армии США, коммерческие ИС появились одновременно. Ха, такой язык программирования как VHDL был заказан военными, например.

                                                                        В РФ ситуация всегда была обратная ситуация — и это убивает любое желание создавать инновационные продукты по госконтрактам. Ни одна независимая коммерческая компания не захочет делать инновационный продукт который потом невозможно будет перепродать. А с другой стороны только государство может инвестировать в высокорискованные проекты. Но государство такой же участник рынка как и остальные.

                                                                        А про то что Вы говорите — это чистый СССР, вот где была монополия государства на плоды исследований и разработок. Чем это кончилось вроде как все знают.
                                                                        • 0
                                                                          Особое внимание при работе с технологиями двойного назначения в DARPA уделяется коммерциализации разработок. В тот момент, когда частные корпорации еще не инвестируют важные для Министерства обороны технологии, DARPA занимает лидерские позиции в разработке технологической базы. Инвестиции Агентства в этот момент направлены на обеспечение потребностей национальной безопасности и не преследуют цели создания заделов для промышленной базы частного сектора. Как только развитие технологии продвинется от Министерства обороны к частному сектору, DARPA должно определить стратегию перехода с позиции технологического лидера на позицию «нишевого игрока».

                                                                          Источник
                                                                          Вообще, в DARPA целый ряд подразделений, которые именно занимаются поддержкой (финансовой и не только) "внешних" проектов, в том числе и университетских.
                                                                          Справедливости ради нужно сказать, что в России тоже есть государственные организации, осуществляющие поддержку частных разработок.
                                                                          Но сия дискуссия несколько о другом..

                                                                          • 0

                                                                            Ну в итоге мы и пришли к тому, что "государственность" заказа еще ни о чем не говорит, тем более о монополии — все исключительно по ситуации.


                                                                            Просто вот любит народ все редуцировать и сводить к простым схемам, а так низя, надо быть гибким. Ну и абсолютная монополия на что-либо — зло, хотя любой будет к не стремится. И кстати получается шо вот эта статья, которую мы так радостно комментируем, как раз вот о попытке монополизировать одной Компани часть рынка любыми средствами.

                                                                          • 0
                                                                            Предоложим, что вы заказали софт для своего бизнеса у конторы АшотSoftware :-)
                                                                            вложили в это дело N… нет лучше M американских денег. Уважаемый Ашот все сделал как надо и вы получили что хотели. А через пару месяцев ваш посредственный конкурент пришел к Ашоту и захотел купить ваш софт за пару рублей… вы полагаете, что для развития своего бизнеса Ашоту нужно продать продукт?
                                                                            А DARPA борется за гранты на исследования это не совсем, а вернее совсем не тоже самое, что контракт на разработку ПО.
                                                                            • +3

                                                                              Ну надо было такой исход предвидеть изначально и указать в договоре. АшотСофт мог согласиться, а мог и отказать (т.к. берет копейки зная что потом перепродаст продукт несколько раз).


                                                                              С другой стороны никого же смущает, что дешевые сайты делается в конструкторах и использованием совершенно идентичных шаблонов?
                                                                              Использование единой кодовой базы в разных (но однотипных) проектах и для разных заказчиков вполне рядовое явление при разработки софта. Уж не ради ли этого было придумано сначала модульное программирование, а затем и ООП?


                                                                              Но передача программы со всеми потрохами и всякими копирайтам на исходный код — да, бывает. Но это реально дорого (и исполнитель больше бабла захочет и придется потратиться на кучу всякой фигни), а самое главное это имеет смысл, ну когда результат ну совсем инновационный, дабы получить преимущество перед конкурентами. Перед кем вот только собирается получать преимущество государство внутри себя — я хз. Те же мериканцы, абсолютно лояльно относятся к перепродажам разработок внутри страны, но экспорт технологий наружу всегда ограничивают, причем для всех, даже если компания и близко не подходила к госконтрактам, естественно компаниям это не нравится.


                                                                              Просто надо понимать, что каждая сторона имеет свои интересы и они приходят к компромиссу через договор. Если там написано "отдать все" то придется отдавать все, а если нет — то и нет.


                                                                              Ну т.е. тут нет простых и прямолинейных правил — все исключительно как договорятся.


                                                                              Но, если компания А продает свой продукт Х только компании В, тот тут 2 варианта: Либо продукт Х говно полное и его покупает компания В в силу неэкономических причин, а например, из-за родственных связей, либо компания В десятикратно переплачивает и продукт Х действительно дает ей конкурентное преимущество.

                                                                              • 0
                                                                                С Ашотом аргумент не совсем хорош. Государство, как заказчик, не теряет деньги на том, что скажем, Малайзия купит тот же софт за пару долларов (в отличии от заказчика Ашота). Наоборот, если есть еще и договор на поддержку, то багфиксы в общих модулях будут происходить бодрее, если софт работает во многих странах одновременно.

                                                                                Но, с другой стороны, справедливо было бы выплатить заказчику что-то вроде роялти, за каждую следующую продажу.

                                                                                Еще 1 момент, что возникает конфликт интересов. Подрядчику выгодно манипуляциями/личными договоренностями склонить заказчика к фичам в ТЗ, которые хорошо продаются другим заказчикам (и не нужны заказчику), и уговорить отказаться от фич, которые нужны только заказчику.
                                                                              • 0
                                                                                Ключевой момент — буква R в DARPA. Исследования. Результат исследований действительно не должен умирать под пыльным сукном. Есть куча вариантов этого добиться — от обязательного перевода результата таких бюджетных работ в общественное достояние до разрешения исследователю эксплуатировать результаты на коммерческой основе. Что-то более эффективно для фундаментальных исследований и менее для прикладных, что-то — наоборот. Но это другая история.

                                                                                Проекты типа электронных дневников — это не rocket science, это чистая разработка. Ноу-хау в процессе не генерируется. Но зато становится критичным вопрос долговременной поддержки получившейся конструкции в рабочем состоянии. И тут вариант «эксклюзивные права остаются у разработчика, а заказчик пользуется продуктом по EULA» — не годится.
                                                                              • +2
                                                                                Права на что? Права на сам проект — у государства, а вот технология (know how) остается в собственности компании. Как и опыт разработчиков. В любом случае сделать второй, аналогичный проект — сильно проще, чем первый.
                                                                              • +3
                                                                                Повышать эффективность управления подобными активами? Передавать право распоряжаться активами частным конторам за процент от прибыли? Думаю, можно придумать несколько вариантов…
                                                                                • 0
                                                                                  Текущий более-менее рабочий вариант — приватизация и последующий сбор налогов. Простая схема, которая должна работать.
                                                                                • +1

                                                                                  Что значит "убьют всеь проект"? Государство платит за проект. От чего ему умирать? Если есть отдельная платформа, на базе которой делается проект для государства, а хочется ещё платформу развивать за счёт государства и писать коммерческие проекты на её базе, то три основных варианта:


                                                                                  • прибыль от проекта пускать на платформу, не закладывая в себестоимость доработки платформы
                                                                                  • доработки платформы, необходимые для реализации проекта, оценивать с рейтом значительно более низким чем рейт реализации собственно проекта
                                                                                  • участие государства в финансировании развитии платформы с получением государством части прибыли от её коммерческого использования
                                                                                  • +4

                                                                                    Возможно вы правы, но в противном случае получается ситуация вроде той, что описана в статье:
                                                                                    частная контора вертит проектом как хочет, делает себя монополистом данных, полученных при помощи государства.
                                                                                    добавляет платный контент, без возможности его воспроизвести, что убивает конкуренцию и позволяет задирать любые цены.

                                                                                    • +1
                                                                                      В таких ситуациях надо разбираться с каждым конкретным случаем. Фейрглайд\Тактилабс\Альтарикс ведёт себя плохо и с этим трудно спорить. К операторам гос. данных должны быть свои требования и регуляции. Но дальше автор пишет про продажу ПО и технологий, что не имеет прямого отношения к первому вопросу и становится непонятно причём тут вообще это.
                                                                                  • +3

                                                                                    Открыть исходники под BSD или GPL и разрешить продавать. Если российская контора сделала продукт, который можно продать в Малайзию — отлично, пусть продают. Чем плохо, что у Малайзии будет хороший продукт? (Если он хороший)

                                                                                    • +1
                                                                                      Вот не надо только про деньги граждан и прочую лабуду.
                                                                                      Государство точной такой же заказчик, как и ИП Петя или ООО Вектор — все они должны находится в равных правах. Исполнитель тоже желает сделать разработку не для одного заказчика, а впоследствии перепродать свой продукт как можно большему количеству покупателей.

                                                                                      Государство, также как и наравне с ИП Вася может попросить эксклюзивных прав, может даже выкупить все права — кто больше предложит, тот и получит (если антимонопольный комитет одобрит), но это будет и стоить многократно дороже — надо будет перекрыть всю потерянную ожидаемую прибыль от перепродаж. Вот как раз переплата государством за монопольное пользование разработками и есть самое тупое выкидывание денег граждан на ветер ;-) Еще такая монополия благодатная почва до коррупции.

                                                                                      Тут радоваться надо если действительно продукт сделанный на госбабки хоть как-то котируется на коммерческом рынке (если это правда, конечно). А Вы тут разводите СССР2.0.

                                                                                      Это надо уяснить до конца — «государственность» не дает никаких эксклюзивных прав
                                                                                      • 0
                                                                                        … всю потерянную ожидаемую прибыль ...

                                                                                        , а так же недополученная прибыль.
                                                                                        Вот корень зла.
                                                                                        • 0

                                                                                          Читайте мой коммент

                                                                                        • 0
                                                                                          Нет. Оплата разработок — это одно, эксклюзивные права и выкуп интеллектуальной собственности — другое и уже за отдельные деньги. Так по крайней мере в цивилизованном мире принято. Также в цивилизованном мире не принято различать госзаказчика от любого другого заказчика априори — если хотите странного, то пожалуйста регулируйте дополнительными соглашениям, по без разницы — государство ты или Корпорация Зла лимитед. В Штатах вон вообще за государством нет даже монополии на насилие, а эмиссией валюты занимается частно-государственная организация.
                                                                                          • 0
                                                                                            Когда я нанимаю работника сделать мне ремонт — он не получает право жить в отремонтированном помещении. Когда меня нанимают на работу, я не имею права продавать софт, который создал при таком найме. Когда я нанимаю плотника, чтобы он сделал мне стул — он не получает права сидеть на нем. И так далее…

                                                                                            «в цивилизованном мире не принято различать госзаказчика от любого другого заказчика» — странно получается как-то…
                                                                                            • +4

                                                                                              У вас уникальная способность находить нестадартные аналогии и строить никак не связанные пары утверждений. В стиле: Найдите общее между ботинком и карандашом :-)


                                                                                              1. Когда вы нанимайте работника сделать ремонт — вы не можете ему запретить сделать точно такой же ремонт другому. А еще вас абсолютно не касается на что он потратит свою прибыль. При этом вы можете с ним заключить соглашение ща дополнительную сумму шоб он делал ремонты только для вас вас 5 лет, покрывая ожидаемую упущенную прибыль.
                                                                                              2. С плотником тоже самое.
                                                                                              3. Когда вы нанимайте сотрудника — это трудовые отношения, не надо прикидываться дурачком и мешать их с другими видами взаимоотношений. Кстати NDA с работником заключается отдельно и строгость NDA как правило компенсируется (за пределами РФ по крайней мере). А можете не заключать, если уверены что он не сольет в своем блоге что-то важное.

                                                                                              Все регулируется договорами. Вы же тут пытайтесь выдать свой взгляд (идущий в разрез с реальностью) за истину и натягивай сову на глобус, вот что странно :-)

                                                                                            • +1
                                                                                              Всегда поражала такая логика.
                                                                                              То есть если я нанимаю вас для написания модуля для меня, то я лишь покупаю права на модуль?
                                                                                              Фигассе.
                                                                                              Если вы нанимаете сантехника для починки крана вы покупаете права на кран или все-таки работы по устранению протечки?
                                                                                              Мне казалось, что нанимая программиста я покупаю результат его труда, а не право пользоваться результатом?
                                                                                              В противном случае это право не может быть привязано к стоимости разработки, а должно стоить на порядок меньших денег, разве нет?
                                                                                              Ведь разработка (условно) модуля и модуль на маркетплейсе обычно стоят совсем разных денег. Потому что в первом случае тратится время на решение задачи, а во втором лишь право пользоваться.
                                                                                              Вы ж (по традиции всех программистов) хотите продать игру по цене разработке, но оставить себе право продавать ее дальше
                                                                                              • +1
                                                                                                Если вы нанимаете сантехника, то вы не получаете права запретить ему ремонтировать другие краны. Даже если кран такого типа он первый раз увидел у вас.
                                                                                                У вас всего два типа цены: за результат и за разработку. А выделать следует три: за результат, за разработку, и за разработку с последующим эксклюзивом. Все три варианта будут сильно отличаться по цене.
                                                                                                С экслюзивными правами всё очень правильно описали здесь: comment_10364220
                                                                                                • 0

                                                                                                  Да. Все правильно. Именно это я хотел сказать.


                                                                                                  Правда как еще выше выяснилось, шо люди отождествляют результат труда (т.е. финальный продукт) с продуктом наемного работника, хотя вот как раз в случае наемного работника — его труд и есть продукт (и он может его перепродавать хоть десятерым). А потом еще пытаются это натянуть на отношения двух юрлиц — типа компания исполнитель это наемный работник компании заказчика, я думаю что если сюда зайдут юристы, то они офигеют :-)


                                                                                                  Ну и еще у меня есть подозрение шо не всем в школе рассказали про отмену крепостного права...


                                                                                                  Не, ну правда что касается интеллектуальной собственности — то там действительно все сложно, поэтому передача прав на ИС всегда оговаривается, шо нибудь в стиле, если вы в процессе работы/исполнения заказа изобретете супер-пузырьковую сортировку, то расскажите как это работает и передадите права на нее нам, а мы получим патент и укажем там, что выявляцтесь изобретателем, ну и т.д. (если обратить внимание, то в патенте отдельно указываются изобретатели и правобладатели)

                                                                                                  • 0
                                                                                                    С материальными вещами сравнение неуместно, потому что нельзя 1 раз сделать стул на заказ и потом одним движением копировать его другим людям, всё-таки это будет другой стул.
                                                                                                    То, что копируется легко — там другие правила, во всяком случае в РФ: что сделано в рабочее время — собственность работодателя. Можно прийти домой и написать подобное, не используя копипасту, и тут будет только защита идеи (которые тоже патентуются в некоторых странах, так, в США можно патентовать алгоритм, а в РФ только реализацию, поэтому у нас не имеет силы запрет на свою реализацию того же 729 кодека).
                                                                                                    • 0

                                                                                                      Не нужен никакой эксклюзив. Достаточно нанять для разработки модуля. Если в договоре написано, что права на код — у заказчика, значит у заказчика. Хочет исполнитель такой же код написать для другого — пусть пишет, никто не запрещает. Только права заказчика на код не нарушай и все. А если в договоре нет этого — это уже проблема юристов, накосячили.

                                                                                                      • 0
                                                                                                        Стоп стоп стоп. Я про дальнейшие права сантехника слово не говорил.
                                                                                                        Пусть ремонтирует дальше, но результат его труда в виде ПОЧИНЕННОГО крана, извините, мой. Не право пользования починенным краном, не эксклюзивное право или еще что-то, а сам кран с трубой.
                                                                                                        Если разработчик по моему заданию сделал мне API то это мое API. Он может сделать похожее API кому-то другому, но при этом мое API остается моим и никакой разработчик не может решать что мне с ним делать.

                                                                                                        Я покупаю результат в виде, скажем, созданного модуля. Я плачу за этот результат по часам программиста (скажем 10 часов), а так же беру риски, например, временные (модулю надо 20 часов, а не 10) на себя, а так же покрываю часы работы, а не фантомную стоимость на маркете. Этот результат мой и только мой. Потому что я оплатил ИНТЕЛЛЕКТУАЛЬНЫЙ труд, за что получил РЕЗУЛЬТАТ этого труда в свою собственность.
                                                                                                        Если я покупаю результат в виде модуля на маркете я не плачу за 10 часов программиста. Я плачу за конкретное решение, стоящее конкретных денег — обычно раз в 20-30 меньше реальных затрат на оный.
                                                                                                        Вы же хотите сделать решение для маркета за мои деньги. С фига ли? Давайте наоборот. Модуль делать 100 часов, но блин, на маркете похожий стоит 5000р — делай мне за 5000р, не?

                                                                                                        Вы же предлагаете понятие эксклюзив.
                                                                                                        Давайте введем его в реальную жизнь.
                                                                                                        Вы заказали на заводе производство своего крутого гаджета, который вы придумали. Вам делают партию 100 штук, вы готовитесь выйти на рынок, а он уже завален вашем гаджетом. Сорри, у вас не эксклюзивный контракт на производство. Завод же имеет право производить что хочет, не? Надо было заказывать производство не за 100 рублей, а за 1000, ведь завод должен отбить не только стоимость производства с маржой, но и упущенную выгоду от того, что сам не произвел ваш гаджет.
                                                                                                        • +3
                                                                                                          Потому что я оплатил ИНТЕЛЛЕКТУАЛЬНЫЙ труд, за что получил РЕЗУЛЬТАТ этого труда в свою собственность.

                                                                                                          Ваша это собственность или нет — исключительно вопрос цены и соотв. пункта в контракте.
                                                                                                          Поддержка и обслуживание гос. данных и предоставление работоспособного API — совсем другой вопрос, которого я не касался. Не надо смешивать всё в одну кучу.
                                                                                                      • 0

                                                                                                        Ну я в таких случаях сообщаю, шо если не нравится такая логика, то ищите другого.


                                                                                                        Все просто — каждый вид работ стоить своих денег, а крепостное право отменили в 1861 году, если кто не в курсе.


                                                                                                        А труд сотрудника покупайте по трудовому договору и соответственно по трудовому законодательству — ограничивайте право собственности на результат труда за счет выполнения дополнительных условий: пенсии, страхования, невозможности расторгнуть договор без согласия работника и много других затратных вещей. Еще и полностью обеспечивайте необходимые условия труда (и инструменты). Но это не значит, шо сотрудник автоматом не может выполнять точно такую же работу в своих интересах в нерабочее время ;-) Понимайте? Продукт сотрудника — это его труд, который он может перепродавать кому угодно. Работодатель не получает монопольного права на использования труда сотрудника только за то что его взял на работу, он просто его покупает на какое-то время. А если еще хотите, что бы сотрудник не делился секретами, то значит придется еще и за секретность доплачивать. NDA бывают разные.


                                                                                                        Но трудовые отношения к этому сабжу не имеют никакого отношения от слова "ну вообще никак" — не надо натягивать сову на глобус — это антигуманно. Тут вообще-то отношения двух юрлиц: Все хотелки заказчика должны быть отражены в договоре — если просто покупает продукт, то это одно, если покупайте интеллектуальную собственность — то это уже куда более серьёзнее и дороже, а если еще и хочешь получить эксклюзивные права на все и на вечно — то такими вещами должна уже ФАС интересоваться.


                                                                                                        Но в Штатах, например, как такового трудового законодательства нет — все определяется договорами и торговаться будут за каждый пункт. Хотите картинку? Пожалуйста. Хотите картинку Роялти Фри (в РФ к сожалению еще не все в курсе)? Ну ОК. Хотите уникальную картинку, шоб у других тоже не было? Пожалуйста, ценник х10. Не нравиться? Ищите другого?


                                                                                                        Вы же не надеюсь не считайте, что купив один раз стул в IKEA, получайте эксклюзивное право: Продавать стулья только вам?


                                                                                                        И раз Вы тут упомянули игры, то открою страшную тайну — очень много игровых ресурсов были созданы один раз (например звуки оружия), а потом многократно перепродавались разным компаниям. Если не нравится такой расклад — то можете купить эсклюзив, исключительно для себя — это будет дороже.

                                                                                                        • 0
                                                                                                          Эмм при чем тут физ лицо?
                                                                                                          Государство провело тендер на разработку.
                                                                                                          Фирма выиграв тендер обязалась разработать софт.
                                                                                                          Фирма ОБЯЗАНА обеспечить сотрудников — это не задача государства — оно заказчик и деньги платит.
                                                                                                          Продукт сотрудника произведенный в рабочее время есть собственность фирмы. И если вы отдадите его, скажем, конкурентам как свою собственность — вас засудят. И тут было несколько статей с подобными примерами.
                                                                                                          Вы искренне пытаетесь натянуть фрилансеров на работников. Фрилансер-вася это та же фирма, что и студия Лебедева. Это не работник, это бизнес-мен, какой бы смешной его оборот ни был. Со всеми вытекающими.
                                                                                                          Вы же пытаетесь и доходы бизнеса получить и риски скинуть на заказчика. Если мне программист скажет, что напишет модуль, но модуль его, а право на модуль мое, я резонно попрошу платить не за часы, а цену аналогичного модуля на маркете. Потому что условия покупки аналогичны — с фига я должен платить за «разработку»? Риски мне, а прибыль программисту?
                                                                                                          • 0
                                                                                                            Вы вообще о чем? Какие фрилансиры, какие работники? Это вообще к чему?

                                                                                                            Вроде уже который раз объясняю: сабж — отношения двух юридических лиц: одно заказало разработку у другого. Фирма-разработчик может использовать свои наработки в дальнейшем как угодно, если иное не было оговорено в договоре.

                                                                                                            Причем здесь вообще трудовые отношения про которые вы все гнете и гнете? Они регулируются совершенно другими нормативными актами если говорить об РФ.

                                                                                                            Продукт сотрудника произведенный в рабочее время есть собственность фирмы.

                                                                                                            Я еще раз повторю если с первого раза не дошло: работник продает свой труд, который и является его продуктом и это не одно тоже, что и продукт фирмы. И работник волен распоряжаться своим трудом как угодно, никто не имеет права мешать сотруднику работать по совместительству в нескольких организациях, выполняя схожую работу или просто заниматься чем-то схожем дома, если он не привлекает для этого ресурсы фирмы, иначе бы уже давно каждого второго осудили бы. Но всегда можно придти к соглашению: а) добровольному, б) обоюдному в) за дополнительную плату соглашению прописанному, например, через NDA.

                                                                                                            И если вы отдадите его, скажем, конкурентам как свою собственность — вас засудят. И тут было несколько статей с подобными примерами.

                                                                                                            Кого отдадите? За что засудят? Вы снова мешайте все в кучу. Работник может отдать конкуренту только свой труд. Знайте, это такая целесообразная, сознательная деятельность человека, направленная на удовлетворение потребностей индивида и общества, как намекает вики. Никаких ограничений на перепродажу своего труда нет, чай не в рабовладельческом обществе живем.

                                                                                                            Вы искренне пытаетесь натянуть фрилансеров на работников. Фрилансер-вася это та же фирма, что и студия Лебедева. Это не работник, это бизнес-мен, какой бы смешной его оборот ни был. Со всеми вытекающими.

                                                                                                            Ну вообще-то это Вы почему-то решили проводить параллели между трудовыми отношениями и отношениями двух юрлиц о чем изначально шел разговор. Хотя в США действительно не делают никакой разницы, там и ТК нет — что с работниками, что с фирмами заключают договора и контракты. А в российском законодательстве фрилансер-Вася, если он не имеет хотя бы жалкой приставки ООО и студия Лебедева не одно и тоже — первый физлицо, второй юрлицо. Деятельность юрлиц регулируется ГК, с физлицом можно заключать договоренности регулируемые как ТК, так и ГК, но если обнаруживается что трудовые отношения маскируются гражданскими, то будет плохо.

                                                                                                            Если мне программист скажет, что напишет модуль, но модуль его, а право на модуль мое, я резонно попрошу платить не за часы, а цену аналогичного модуля на маркете.

                                                                                                            Просите сколько угодно, только в любом случае придется придти к обоюдному соглашению, иначе никто ничего не получит. И если в маркетплейсе так дешево, то почему сразу там не купили?

                                                                                                            Потому что условия покупки аналогичны — с фига я должен платить за «разработку»? Риски мне, а прибыль программисту?

                                                                                                            Не платите, делайте все сами.
                                                                                                            • 0
                                                                                                              Вроде уже который раз объясняю: сабж — отношения двух юридических лиц: одно заказало разработку у другого. Фирма-разработчик может использовать свои наработки в дальнейшем как угодно, если иное не было оговорено в договоре.

                                                                                                              Да. Только разговор про государство, которое блочит избранно доступ к АПИ. Разработчику можно, а другим — болт.
                                                                                                              Скажите за что в этом случае платило государство? За разработку АПИ, к которому имеет доступ только разработчик?
                                                                                                              Я еще раз повторю если с первого раза не дошло: работник продает свой труд, который и является его продуктом и это не одно тоже, что и продукт фирмы. И работник волен распоряжаться своим трудом как угодно, никто не имеет права мешать сотруднику работать по совместительству в нескольких организациях, выполняя схожую работу или просто заниматься чем-то схожем дома, если он не привлекает для этого ресурсы фирмы, иначе бы уже давно каждого второго осудили бы. Но всегда можно придти к соглашению: а) добровольному, б) обоюдному в) за дополнительную плату соглашению прописанному, например, через NDA.

                                                                                                              Вы путаете работу и результаты.
                                                                                                              Работу он может выполнять где угодно. А вот результаты своей работы в одной фирме он применять в другой не имеет права.
                                                                                                              Иначе из фирмы 1 может прилететь иск к фирме 2 за нарушение прав.
                                                                                                              Ну или объясните как труд может быть продуктом?
                                                                                                              На пальцах. Я стою за станком и обрабатываю деталь. Результат — обработанная деталь, а не мой труд.
                                                                                                              Я программирую в фирме. Результат — написанный код, а не мой «труд». И написанный код принадлежит фирме, а не мне.
                                                                                                              Кого отдадите? За что засудят? Вы снова мешайте все в кучу. Работник может отдать конкуренту только свой труд. Знайте, это такая целесообразная, сознательная деятельность человека, направленная на удовлетворение потребностей индивида и общества, как намекает вики. Никаких ограничений на перепродажу своего труда нет, чай не в рабовладельческом обществе живем.

                                                                                                              Отлично. Значит пусть трудится. И результаты труда должны быть без использования результатов в другой фирме.
                                                                                                              Просите сколько угодно, только в любом случае придется придти к обоюдному соглашению, иначе никто ничего не получит. И если в маркетплейсе так дешево, то почему сразу там не купили?

                                                                                                              Ага. Стандартный вопрос — стандартный ответ.
                                                                                                              Еще раз повторю. Если я покупаю модуль — я покупаю по рыночной цене МОДУЛЯ. И покупаю результат в виде МОДУЛЯ.
                                                                                                              Если я покупаю РАЗРАБОТКУ — я покупаю по цене РАЗРАБОТКИ, которая включает риски (в том числе и того, что модуль нужен только мне) и, естественно, выше.
                                                                                                              Вы же хотите продать МОДУЛЬ по цене РАЗРАБОТКИ. При этом вы хотите все риски скинуть на меня, а доход получить от продажи нескольких копий.
                                                                                                              Я же вам предлагаю продать РАЗРАБОТКУ по цене модуля. То есть вы берете все риски на себя и продаете одну копию мне.
                                                                                                              Почему же вам это не нравится?
                                                                                                              Риски ваши, деньги ваши. Риски мои — деньги мои. Справедливо, разве нет?
                                                                                                • +3

                                                                                                  Не "должны", но вполне могут. А вы считаете, что остальной мир устроен как-то иначе? Вон Маска государство дотирует, как-то не спрашивая простого американского налогоплательщика. Нет, тут, конечно, можно ответить что-нибудь вроде "Маск двигает человечество вперед, а тут просто деньги пилят", но сам принцип-то вливания государственных средств в частные компании отнюдь не в России придумали.

                                                                                                  • –1
                                                                                                    Уточните условия, на которых его дотируют. Дьявол, как всегда, в деталях…
                                                                                                    • +4

                                                                                                      Ваш риторический вопрос был не о деталях, а самом принципе траты денег таким путем. И ответ на него — "Да, трата государственных денег на проекты частных компаний, остающиеся в итоге в собственности этих компаний, и не спрашивая граждан — совершенно нормальная мировая практика". Что, разумеется, не означает, что в какой-то конкретной ситуации не могли иметь место злоупотребления и коррупция.

                                                                                                      • 0
                                                                                                        Вас что конкретно интересует? Интеллектуальная собственность и технологии с патентами принадлежат ему — вон у Tesla Motors уже больше 300 патентов если не больше. Срок действия патентов по 20 лет, причем половина патентов получены по государственным грантам. Так что ближайшие 20 лет копию Теслы никто сделать не может, ну кроме Маска или того, кому он их перепродаст.
                                                                                                        • +1
                                                                                                          Меня интересует что он будет должен государству, в частности, за такое финансирование.
                                                                                                          • +1

                                                                                                            Если это дотации или гранты — то ничего не должен.
                                                                                                            Ну т.е. реально половина патентов Теслы выполнены в рамках грантов, но принадлежат они исключительно Тесле. Ну т.е. реально да, американское правительство дает бабки Маску, за то что он огораживает свою интеллектуальную собственность. Делает это потому что кроме Маска, никто не хочет собирать электромобили и осваивать Марс. Было бы в США штук 20 компаний производящих аналоги Теслы — никаких бы дотаций и грантов не было бы.


                                                                                                            Вот в области космоса у Маска уже есть некоторые конкуренты — там ведь не только SpaceX раззевает варюшку на бюджет NASA.


                                                                                                            Наверняка там есть и прямые инвестиции уже с какими-то обязательствами. Наверняка имели место и кулуарные договоренности (о которых мы никогда не узнаем). Но факт есть факт — правительство США дает бабки Маску на то что бы он продолжал делать электромобили, продавал их и извлекал из этого выгоду для себя. Иначе просто никто не будет этим заниматься, т.к. сейчас это убыточно.

                                                                                                    • –1
                                                                                                      А что автор думал? На войне, как на войне. Добро пожаловать в капитализьм!
                                                                                                      З.Ы.: И еще на заметку: нужно поработать с отзывами, т.к. явно видно, что все они
                                                                                                      заказные.
                                                                                                    • +4
                                                                                                      И кто-то скажет: «Альтарикс частная компания, почему бы им и не торговать тем, что они разработали?», но вопрос исключительно в том, что подряды, которые получает Альтарикс происходят без конкурса.
                                                                                                      • +3
                                                                                                        Ну если без конкурса в обход закона, то надо писать заявления в соотв. структуры. Хотя я сомневаюсь, что там есть к чему придраться.
                                                                                                        • +2
                                                                                                          Даже если есть — ничто не помешает дать официальный ответ что всё ок.