Цена независимости: CISO «Авито» об открытом коде в ИБ

Идея о том, что решения с открытым исходным кодом (опенсорс) дешевле коммерческих сервисов – один из самых распространенных мифов в ИТ. В информационной безопасности реальность сложнее: открытые решения часто обходятся дороже с учётом полной стоимости владения.

Выбор опенсорса – это выбор между зависимостью от внешних вендоров и контролем над собственной инфраструктурой, между готовым коробочным решением и гибкостью под любую специфику, между гарантированной поддержкой и необходимостью разбираться самим. В этой колонке я расскажу, как устроена реальность опенсорса в ИБ на нашем опыте в «Авито»: от экономики и архитектуры решений до скрытых рисков и стратегических преимуществ, и для кого этот путь имеет смысл.

Стратегическая логика опенсорса в ИБ

В «Авито» большая часть решений по информационной безопасности построена на опенсорсе – в исходном виде или доработанные под специфику. Остальное – коммерческие продукты, которые используем там, где нет достойных открытых альтернатив или доработка потребует слишком больших усилий. Часто в крупных компаниях первые шаги к опенсорсу были вынужденными: на ранних этапах роста бюджеты шли на развитие продукта, а ИБ решала задачи доступными средствами. Но с ростом бизнеса прагматичный выбор превращается в стратегическое преимущество.

Главное качество опенсорса, которое невозможно купить с коммерческой лицензией – гибкость. Решение можно свободно адаптировать под специфику внешних условий, архитектуры, технологического стека. Коммерческий продукт не учитывает узкоспециализированные кейсы. Если ваш случай не вписывается в его логику, остается просить вендора добавить функциональность в следующем релизе или менять процессы под продукт, что стратегически не всегда оправдано.

Зависимость в ключевых аспектах информационной безопасности от внешних вендоров может нести системные риски: изменение условий лицензирования или стоимости, уход компании с рынка или прекращение поддержки. Изменения в стратегии поставщика могут угрожать непрерывности бизнеса, что критично для крупных компаний масштаба «Авито», где происходят около 10 сделок каждую секунду. Опенсорс дает больше уверенности: даже если внешние обстоятельства изменятся, открытый код останется. Его можно поддерживать, дорабатывать, исправлять уязвимости – компания получает полный контроль.

Где опенсорс работает: ключевые классы решений

Сканеры безопасности кода – это первая линия обороны, которая ловит уязвимости ещё до попадания кода в продакшн. В любой крупной компании, где используется несколько языков программирования для разработки внутренних и внешних решений, нужен отдельный сканер для каждого из них, потому что уязвимости специфичны для языка и фреймворка.

Главная ценность опенсорсных сканеров – возможность дописать правила проверки под специфику компании. Сканер можно научить понимать legacy-код с нестандартной архитектурой. При использовании внутренних библиотек и фреймворков можно добавить правила проверки специально для них. Коммерческие сканеры чаще всего работают с тем набором правил, который предоставил вендор. Если конкретный случай не покрыт стандартными правилами, возникает слепое пятно в безопасности. В «Авито», например, мы используем несколько опенсорсных сканеров под разные языки и один-два коммерческих там, где не нашли достойной открытой альтернативы.

Системы управления доступами – критически важная часть инфраструктуры, которая отвечает за аутентификацию и авторизацию пользователей. Здесь часто используют Keycloak – одну из самых популярных опенсорсных систем для управления доступами, альтернативу дорогим коммерческим IAM-решениям (Identity and Access Management).

Некоторые коммерческие системы управления доступами сами становятся объектами массовых атак. Взлом такого централизованного облачного сервиса дает доступ сразу к тысячам компаний. Опенсорс, в свою очередь, предполагает изолированное развертывание в инфраструктуре каждой компании. Массовые атаки на популярные облачные сервисы не затрагивают такие изолированные инсталляции – злоумышленникам необходимо преодолевать все периметры защиты каждой отдельной организации.

Управление секретами – ещё одна базовая задача для компаний с собственной разработкой. Разработчики не должны хранить пароли, API-ключи и другие секреты прямо в исходном коде. Это не безопасно – его видят многие люди, он попадает в систему контроля версий, в конце концов, может утечь. А например, при смене пароля к базе данных для замены приходится искать его во всех микросервисах и приложениях, что создает дополнительные риски.

Решением становится централизованное хранилище секретов, например, Vault. В коде хранятся только ссылки на секреты, а сами значения лежат в защищенном хранилище. При смене пароля в одном месте все приложения автоматически получают новое значение. Хранилище позволяет настроить детальные права доступа для каждого приложения или сервиса.

Реальная цена опенсорса

Опыт «Авито» говорит, что использование опенсорса в ИБ часто обходится даже дороже коммерческих решений с учетом полной стоимости владения. Открытые решения почти всегда требуют доработки под специфику компании. Это не рабочие сервисы из коробки – запуск без адаптации обычно заканчивается разочарованием.

Первая скрытая цена – экспертиза. Требуются сильные специалисты, которые понимают архитектуру выбранного решения, владеют языком программирования, на котором оно написано, знают специфику инфраструктуры и умеют связать всё воедино. Опенсорс требует понимания того, что происходит под капотом системы, а не просто знания «какую галочку нажать» в интерфейсе.

Подход «Авито» всегда примерно один: сначала поиск открытого решения, максимально близкого к потребностям. Если готового нет – оценить, сколько ресурсов потребуется для доработки существующего. Анализируется, на чём написано решение, есть ли у команды экспертиза в этом стеке, сколько времени и какую занятость сотрудников потребует доработка. И только если потенциальные затраты ресурсов слишком высоки, стоит обратиться к коммерческому продукту.

Вторая скрытая категория затрат – правила для обнаружения угроз. Большинство ИБ-решений имеют низкую ценность без дополнительных данных. Системы обнаружения атак малополезны без актуальной базы сигнатур известных атак, векторов вторжений, индикаторов компрометации. И именно эти данные об актуальных угрозах часто оказываются платными.

Третий фактор – время. Внедрение открытого решения – это марафон в месяцы. Нужно изучить архитектуру, понять, как интегрировать новый сервис в инфраструктуру, реализовать доработки, протестировать, исправить баги. Всё это время команда занята проектом, а не другими задачами. Коммерческий продукт разворачивается значительно быстрее, т.к. зачастую в этом помогает интегратор или вендор.

Для малого бизнеса без необходимых ресурсов опенсорс обойдется дороже коммерческих решений. При недостатке экспертизы возрастают риски неправильной конфигурации и ошибок при доработке, что может создать больше проблем, чем было до внедрения. Для компаний малого и среднего размера оптимальный вариант – аренда решения вместе с экспертизой компании-аутсорсера, который поставит, настроит и будет следить за работой и обновлениями.

Наш стратегический подход можно описать так: если есть сильная команда специалистов, собственная разработка и глубокое понимание инфраструктуры – опенсорс дает независимость от внешних вендоров, полный контроль над кодом и возможность собственного аудита безопасности. Вопрос не в размере компании, а в наличии ресурсов на поддержку и доработку.

Риски и сложности, которые нужно знать заранее

Было бы нечестно нарисовать только радужную картину — несмотря на контролируемость, опенсорс несет ряд рисков.

Зависимости. Около 80% кода современных приложений составляют сторонние библиотеки и зависимости. Вместе с основным проектом в инфраструктуру приходят десятки или сотни библиотек, фреймворков, утилит. Критическая уязвимость в любой из них становится проблемой всей системы.

Для мониторинга и выстраивания защиты нужны специальные инструменты анализа, процессы отслеживания уязвимостей и быстрая реакция на обновления. Популярность решений создает дополнительный риск – когда тысячи компаний используют одну библиотеку, обнаруженная в ней уязвимость дает возможность для массовой атаки. По данным как российских, так и зарубежных исследований, в 2025 году число атак на цепочки поставки выросло более чем вдвое.

Злоумышленник может даже стать контрибьютором проекта, завоевать доверие сообщества и внедрить вредоносный код. В 2022 году разработчик популярного пакета «colors» сам внедрил вредоносный код, затронувший тысячи проектов для протеста против повсеместного использования его решения корпорациями. Для защиты от подобных рисков в «Авито» мы создаем собственное зеркало опенсорса, изучаем изменения перед обновлением и контролируем, что попадает в инфраструктуру.

Брошенные проекты. Примерно 80% того, что выкладывается на GitHub – результат работы энтузиастов, вкладывающихся эпизодически в свободное время. Только малая часть проектов обрастает активным сообществом и превращается в надежные решения.

Для ИБ обычно используются широко известные решения с большим сообществом. Но для узкой специфики приходится смотреть на нишевые проекты. Наша команда анализирует активность разработки: историю коммитов, регулярность изменений, состав разработчиков. Признаки зрелого проекта – множество контрибьюторов, активное сообщество, регулярные релизы, быстрая реакция на баги.

Отсутствие SLA и проблемы с документацией. Опенсорс не предоставляет гарантированной поддержки, а скорость решения проблем зависит от активности сообщества. Компании приходится либо ждать, либо исправлять проблемы самостоятельно. Документация часто отстает от кода – может быть неполной, устаревшей или вообще отсутствовать для новых функций. Особенно критичны обновления: описания релизов могут не содержать всех изменений, приходится самостоятельно разбираться в последствиях.

Изменение лицензий. Популярные проекты иногда меняют лицензию с открытой на коммерческую. Компании оказываются перед выбором: платить за то, что раньше было бесплатным, или срочно мигрировать. Например, HashiCorp в 2023 году изменила лицензию Vault с открытой на коммерческую с ограничениями, что заставило многие компании пересматривать планы.

В «Авито» мы всегда оцениваем, кто стоит за проектом и какая у них бизнес-модель. Проекты под управлением крупных фондов или консорциумов обычно более стабильны, чем решения одной коммерческой компании.

Отсутствие сертификации. Для компаний из сфер финансов, энергетики, критической инфраструктуры и других регулируемых секторов критично отсутствие сертификатов ФСТЭК или ФСБ, необходимых для работы компании. Для опенсорса организация может провести сертификацию самостоятельно, но это долгий и дорогой процесс, который придется повторять после каждого значимого обновления. Организации из этих отраслей часто вынуждены использовать устаревшие версии открытых решения или выбирать коммерческие альтернативы.

Ключевые выводы:

• Опенсорс в ИБ дороже коммерческих решений по полной стоимости владения, но дает стратегическое преимущество – контроль над инфраструктурой и независимость от вендоров
• Крупные техкомпании строят 60% ИБ-инфраструктуры на опенсорсе – не ради экономии, а ради гибкости настройки под специфику и защиты от изменения условий внешних поставщиков
• Три скрытые категории затрат: экспертиза для доработки и поддержки, платные данные для работы решений (базы сигнатур атак), время на внедрение в месяцы вместо недель
• Основные риски: уязвимости в десятках зависимостей, брошенные проекты без поддержки, отсутствие SLA и документации, внезапная смена лицензий, невозможность сертификации для регулируемых отраслей

Опенсорс – не для всех: малому бизнесу без экспертизы выгоднее коммерческие решения или аренда с интегратором, крупным компаниям с сильными командами – полный контроль и возможность аудита