6 godzin temu
Po półtora roku zapowiedzi, pytań i ponagleń Ministerstwo Cyfryzacji ogłosiło wreszcie „publikację kodu źródłowego” aplikacji mObywatel. Informacja pojawiła się z fanfarami w mediach społecznościowych i oficjalnych komunikatach. Problem w tym, iż za dużymi słowami poszły raczej niewielkie konkrety.
Opublikowany kod to bowiem jedynie fragmenty dotyczące interfejsu użytkownika – warstwy wizualnej aplikacji. Kluczowa logika działania, mechanizmy bezpieczeństwa i reszta backendu pozostały poza zasięgiem ciekawskich. Saga, która trwała ponad 18 miesięcy, zakończyła się więc rozwiązaniem… dość symbolicznym, które nie satysfakcjonuje polskich internautów.
Jak tłumaczy decyzję Ministerstwo
Zgodnie z komunikatem resortu oraz wpisem w BIP, Minister Cyfryzacji udostępnił część kodu źródłowego aplikacji mObywatel, po uzyskaniu wymaganych opinii CSIRT MON, CSIRT ABW oraz CSIRT NASK. Jak podkreśla Ministerstwo, publikowane fragmenty mają prezentować „filozofię oraz strukturę kodowania”.
Resort zaznacza jednocześnie, iż nieudostępnione elementy mogą mieć najważniejsze znaczenie z punktu widzenia bezpieczeństwa aplikacji. To argument zrozumiały, choć w praktyce oznacza, iż mówimy o bardzo ograniczonym wycinku całości – kodzie warstwy prezentacji.
Sprawę świetnie podsumował na X Robert Frycz – nic dodać, nić ująć.
Gratulacje za historyczny krok w stronę "transparentności" Opublikowanie kodu źródłowego mObywatela okazało się bowiem mistrzowskim numerem iluzjonistycznym: publiczność słyszy fanfary o otwartości, kurtyna się unosi, a na scenie… wyłącznie kod interfejsu użytkownika.
To…
Dostęp z przeszkodami
Nawet ten wąski wycinek kodu nie jest dostępny w formie repozytorium, jak na GitHubie. Nie można go pobrać ani skopiować – przeglądanie odbywa się poprzez wybór pojedynczych plików HTML, bez możliwości zaznaczania tekstu. Dostęp możliwy jest wyłącznie po potwierdzeniu tożsamości, np. profilem zaufanym. Wymóg ten wynika z rekomendacji CSIRT MON i ma zapewnić tzw. rozliczalność użytkowników. Jest to więc wersja „tylko do oglądania”.
Przeglądarka fragmentów kodu dostępna po zalogowaniu. Źródło: mObywatelLicencja szeroka, treść wąska
Co ciekawe, udostępnione fragmenty objęto licencją MIT, która pozwala na bardzo szerokie wykorzystanie kodu, w tym jego modyfikację czy dystrybucję. W praktyce jednak trudno mówić o realnym potencjale, skoro mówimy o kodzie interfejsu, który – jak zauważają komentujący – w dużej mierze i tak był możliwy do podejrzenia w przeglądarce.
Wiecie, iż części kodu które udostępniliście, to może sobie każdy w pierwszej, lepszej przeglądarce podejrzeć?
Czy Wy jesteście poważni? XD
Nie dziwi więc, iż w mediach społecznościowych pojawiły się ironiczne komentarze. Część ekspertów wprost wskazuje, iż ogłoszenie „publikujemy kod źródłowy” jest komunikacyjnie mylące i buduje wrażenie otwartości większej, niż ma to miejsce w rzeczywistości.
Symulacja transparentności
Cała sprawa pokazuje szerszy problem: różnicę między formalnym spełnieniem obowiązku ustawowego a faktyczną przejrzystością. Ministerstwo może z pełnym przekonaniem powiedzieć, iż działa zgodnie z literą prawa i rekomendacjami CSIRT-ów. Nie jest to jednak otwarcie kodu, jakiego oczekiwali obywatele.
Po 1,5 roku oczekiwań dostaliśmy raczej pokaz slajdów zza kulis niż realny wgląd w działanie jednej z najważniejszych aplikacji państwowych.
Źródło: X, Cyberdefense24
