Opencode.gov.sk (metodický portál pre zverejňovanie zdrojových kódov ISVS)

Tak ono neviem, ci rovno “automaticke”. Znie to carovne a spolahlivo, najma ak to GitHub uz dnes ma. Ale …

Projekt “statneho repozitara zdroj. kodov” este nie je ani len obstarany. T.j. bezi debata o alternativach. A takato podmienka sice moze zniet dobre, zaroven vsak moze vyradit vela uchadzacov ci alternativ. Co moze byt zbytocne, ak uvazime, ze “automat” aj tak najde vsetko (resp. bude produkovat privela “false positives”) a teda tak ci tak sa autor(-i) zdrojakov pred zverejnenim (resp. idealne uz pri commitovani) musia zamysliet, co davaju do repozitara. T.j “automat” (najma ak je povedzme zadarmo a funguje vcelku dobre) je fajn kriterium typu COULD alebo SHOULD, ale ako MUST by som ho nedaval.

Najma ked rovno na tomto konkretnom pripade vidime, ze zdrojaky sa sice davaju na GitHub, a GitHub ten “automat” ma, ale aj tak bum, doslo k chybe.

Velku vedu a procesy by som z toho nerobil, kedze to sa potom dostavame prave k tomu, ze aj z drobnych veci sa budu stavat velke. A velke veci potom uz len z titulu velkosti budu zlyhavat. Ako som uz pisal, poucili sme sa (dufam), podme dalej.

A ja by som ho práveže dal ako MUST :slight_smile: práve pre túto vetu co si napísal. A aj ďalšie veci. Neurobiť NIČ a VEDOME vystrcit do sveta potencialne deravé zdrojaky statnych systémov u mňa momentálne hraničí s vlastizradou. Sme na zozname nepriateľských krajín štátu, čo sponzoruje špičkové cyber útočné skupiny. To fakt im ideme pomáhať, nech sa nemusia namáhať?

Takéto a podobné veci sa deju denne.

Tak som sa spýtal aj AI ze co si mysli o tom zverejnovani zdrojakov a dala mi za pravdu v podstate :slight_smile: :

The decision to publish the source code of important national information systems is a complex one and will depend on a variety of factors, including the sensitivity of the information being handled by the system, the potential risks associated with publishing the code, and the potential benefits of doing so.

One potential benefit of publishing the source code of a national information system is that it can allow for greater transparency and accountability, as it allows others to review and verify the security of the system. This can be particularly important for systems that handle sensitive or critical information. However, publishing the source code of a system can also potentially expose vulnerabilities or weaknesses in the system that could be exploited by malicious actors.

Ultimately, the decision to publish the source code of a national information system should be carefully considered and made based on a thorough risk assessment, taking into account all of the potential risks and benefits. It may also be advisable to consult with cybersecurity experts and other relevant stakeholders before making a final decision.

It is generally a good idea for organizations, including the Slovak Republic, to thoroughly review and assess the security of any software or source code before making it publicly available, such as on GitHub. This is particularly important for national information systems, which may contain sensitive or confidential information that could be accessed by unauthorized individuals if not properly protected.

There are several steps that organizations can take to ensure the security of their software and source code before making it publicly available. One option is to conduct a security scan or audit to identify any potential vulnerabilities that could be exploited by malicious actors. This can be done using tools and techniques such as static code analysis, dynamic analysis, and penetration testing.

In addition to security scans, organizations can also implement other best practices to ensure the security of their software and source code. These may include implementing strong access controls and authentication measures, regularly updating and patching software to fix known vulnerabilities, and following secure coding practices.

Overall, it is important for the Slovak Republic and other organizations to carefully consider the security implications of making their software and source code publicly available, and to take appropriate steps to protect against potential security threats.

GitHub makes it easier to scan your code for vulnerabilities

Ahojte, pár info o postupe na tomto fronte.

1)

Čo je asi teraz najdôležitejšie, je blížiace sa VO4 pre Otvorené údaje pre obstaranie Platformy pre zdieľanie zdrojových kódov GOVGIT.
Tu môžete nájsť

:point_right: GovGit - podklady pre VO na pripomienkovanie:
Katalóg požiadaviek: 2023-01-23-KATALOG_POZIADAVIEK_OD2.0-GovGit.xlsx
Opis predmetu zákazky: 2023-01-23-OD2.0-PlatformaPreZdielanieKodovISVS-OPZ.docx

Hneď požiadavka č.1 je jasná. Ide o nasadenie existujúcej platformy GitHub, GitLab alebo alternatívy, aby minimálne spĺňali požiadavky a definovanú funkcionalitu. Bude to teda na dodávateľovi, s ktorou vie dané dielo realizovať najlepšie. Súčasťou bude aj webová vyhľadávacia služba code.gov.sk (v ID-SK designe) nad týmto centrálnym repozitárom, ktorá poskytnutne OpenAPI službu pre opendata, ktorá bude skatalogizovaná na data.gov.sk, ktorá vráti zoznam repozitárov s ich metaúdajmi.

Sme presvedčení, že je to práve to, na čom sme sa na mnohých diskusiách dohodli. Nie vývoj veľkého custom riešenia ale použitie existujúcich nástrojov, metodík a podobne.

Chceme to predložiť na RV, obstarať, rozbehať a pokračovať v téme.
AK máte k tomu nejaké pripomienky, pošlite nám ich plís do konca týždňa.

2)

Verím že zdrojáky WebuMIRRI budú už čoskoro dostupné (kým nebude govgit, tam na githube mirri). Ešte riešime posledné veci. Dôležité je, že sa nám rozbehol kľúčový proces v spolupráci s oddelením CSIRT, ktorého súčasťou je bezpečnostná kontrola zdrojového kódu. Proces sa však musí viac zinštitucionalizovať a zabehať. Toto patrí medzi jedno z najväčších obmedzení zdieľania ISVS.

3)

Čo sa týka zdrojového kódu Slovensko v mobile, pracujeme na tom, aby sme ho mohli zverejniť. Tým že je to väčší projekt než nejaký malý web, asi to potrvá dlhšie. Zatiaľ sme v tomto na začiatku.

4)

Máme už aj zdrojáky MetaIS, ktoré sa snažíme tiež zverejniť na GitHube. Či sa nám to podarí s CSIRTom, alebo inak, to je ešte otvorené. V súčasnosti hľadáme riešenie aj ako to trvalo rozbehnúť, na stole je viac variánt.

5)

Tak či onak, kým bude v produkcii GovGit, stále chceme používať github MIRRI

na zverejnenie toho čo sa nám dovtedy podarí. Či je to webmirri, metais, slovensko v mobile ale iné.

Tu by sme chceli ale spraviť pár zmien v nastavení práv, a to nasledovne:

  • administrátori a memberi sú len ľudia z MIRRI, pričom len títo vidia zdrojové kódy v stave privátne. Ostatní budú len ako externí prispievatelia. Napr. mr. @peter_k je owner, asi preto že to niekedy založil, tak ak by sa nenahneval on, resp. memberi čo nepracujú na MIRRI, prehodil by som ich do externých prispevateľov, ak by ste boli s tým všetci OK. Boli by ste plís?
1 Like