A je o nieco jasnejsie:
Odporúčanie k zverejňovaniu informácií na verejne dostupných webových portáloch v1.pdf (0,65 MB, zverejnené 15.5.2023 )
A
(2) Technický správce ve fázi realizace vytvoření a rozvoje informačního systému zajišťuje
a) pořízení nebo technické zhodnocení informačního systému splňujícího požadavky kladené na jeho služby,
b) splnění požadavků kladených na provoz informačního systému,
c) zveřejnění zdrojového kódu vytvořeného během projektu v rozsahu, v jakém jej nemůže být zneužito k narušení nebo zničení informačního systému,
1 Like
To je magická veta. Keď zverejním len každý 10 -ty riadok kódu (to by už zneuzitelne byť nemalo) bude to ok?
Aká “náhoda”, že je to rovnaké ako v našom Zákone o ITVS:
Práve akože starosť o bezpečnosť - a súčasne absolútny nezáujem presnejšie určiť, ako sa to má aplikovať - je jeden z hlavných dôvodov prečo žiadny zdrojový kód nie je zverejnený.
Ale profesionálni uhýbači samozrejme používajú ťažší kaliber, utajované skutočnosti, povedzme taký projeky eID klienta, ktorého výsledkom je kód ktorý si povinne musím inštalovať na svoj počítač, ale utajená je ešte aj časť projektovej dokumentácie.
1 Like
Musím sa ozvať, nehnevaj sa, neviem prečo to prezentuješ že žiadny zdrojový kód nie je zverejnený.
Projekty, ktoré som riešil ja, sú zverejňované už počas vývoja. Napr. projekt OpenData:
FrontEnd:
Backend:
Alebo projekt znalosti.gov.sk
Samozrejme je potrebné, aby sa zverejnili kompletne všetky, to nerozporujem. Len chcem povedať že keď vôľa, tak to ide.
2 Likes
Naozaj existujú verejné časti projektovej dokumentácie? Sem s nimi! 
Ja som k projektu Elektronická identifikačná karta 2.0 (i.e. eID Klient v4+) nenašiel nič.
@liska prepáč za zjednodušenie, ako sa hovorí, výnimka potvrdzuje pravidlo.
Ináč v júni - to je práve pred 7 mesiacmi - si písal, že “už máme zdrojové kódy SvM”.
Stále riešite metodiku? Alebo ako?
v suvislosti s tymto:
Miro, prepac, zjednodusujeme. Toto tu bude v planosti uz takmer 5 rokov (niekedy v 2024 by malo byt patrocnicove vyrocie):
A teda ze Open Data v2 koncom 2023 je jednym z mala projektov, co zverejnil zdrojove kody, to je tristny stav. Chceli sme typicky napr. zdrojaky eID (Lubor spomenul dovody), MIRRI to par rokov dozadu dostalo do “quick win” a … nic.
Datovu kancelariu teda chvalime, ale v kontexte celeho statneho IT je to strasne malo.
Btw. zdrojové kódy a dokumentácia k eID klientovi (tu: SDK pre mobilnú platformu) sú stále utajené, viď.
Aj naša dátová kancelária má ešte hodne toho pred sebou, čo sa týka zverejňovania zdrojákov. Okrem národného projektu OpenData máme ešte CSRÚ, CIP, MOU …
Som však optimista, že sa to postupne podarí.
Samozrejme že máš pravdu, so zverejňovavím sa to hýbe ultra pomaly, ale chcel som poukázať že predsa sa to dá, a kupodivu to nie je až také veľmi komplikované, stačí chcieť.
Čo sa týka zdrojákov, áno, SvM máme na štátnom githube slovak-egov, ktorý sa stále rozrastá. Aj repozitármi (ktorých je už 59), členmi, tímami, atď. Tu je posielam aspoň screenshot zo stavu, keď si prihlásený:
Čo sa týka finálneho kroku, zverejnenia, naša interná dohoda na viacerých stretnutiach vždy podmienila mať kód pretestovaný softvérom pre jeho bezpečnosť. V rámci projektu OD2.0 sme riešili licencie pre GitHub, pričom v rámci verejného obstarávania sme spresnili požiadavku, aby súčasťou licencií bolo aj GitHubAdvanced Security, čo bolo za mňa to najdôležitejšie z celého GovGitu.
Bohužiaľ, súťaž sme robili na poslednú chvíľu, a nikto sa nám do nej neprihlásil. Súťaž bola realizovaná cez DNS (Dynamický nákupný systém), a priznám sa, že prílišný odborník na to niesom, čo ma mrzí. Mätne si spomínam, že sa objavili nejaké veľmi obtiažne podmienky súvisiace s politikou Microsoftu. Nechcem teraz príliš špekulovať, aby som niečo nenapísal zle.
Každopádne sútaž sa plánuje zopakovať, neviem či s rovnakými, alebo práve upravenými podmienkami. V žiadnom prípade nebol nejaký problém s neochotou “zhora”, ale s tým že sme to riešili na poslednú chvíľu, a ja som teda nemal dostatočné znalosti o tom, ako to vyriešiť. Čo ma teda dva-krát mrzí.
Par poznamok:
- Akonahle uz zbehla volba GitHub, tak o.i. je nasledkom to, ze nech uz ma GitHub Advanced Security akekolvek alternativy (lepsie, horsie, drahsie, lacnejsie, …), tak zrejme nebudu predmetom obstaravania, lebo len kvoli takejto “pod sluzbe” sa nebde robit migracia GitHub → inam. Tot skatulka “vendor lock” a hladanie odpovede na to, ci je to este prijatelne (benefity vs. naklady vs. usle prilezitosti …).
- Obstaravanie v SR je velky problem. Sice mozno z inych dovodov, ale hovori tak napr. aj p. Fico, tot aktualny premier. T.j. uvidime kedy, co a ako s tym spravi.
- Obstaravanie konkretne produktov a sluzieb spolocnosti Micosoft, alebo vseobecnejsie produktov a sluzieb od dominantnych (az monopolnych) dodavatelov, ci (moderny buzzword) od “platforiem” je problem: naplno sa tam prejavuju “network efekty”, ktore na jednej strane prinasaju moznost vyrazne nizsich nakladov, ale spojenu s “walled garden” ci “vendor lock” a teda aj rizikom, ze z titulu tazkeho az nemozneho odchodu budu nakoniec naklady nie nizsie, ale vyssie.
- Ako-tak podchytene je napr. problematicke obstaravavnie od Microsoftu, vid napr. Microsoft | Investigate Europe
- Alebo potom snahu EU riesit trosku/mozno/aj/… tieto veci cez DSA: The EU’s Digital Services Act
Chapem teda, ze to je problem. Zaroven som vsak samozrejme frustrovany, ze uz je nieco obstarane, navrhnute, implementovane, dokonca mozno aj nasadene na produkcii a zdrojove kody nikde, lebo to stoji na takejto “drobnosti”.
Nesmelo sa ozývam o 4 mesiace neskôr: so zverejňovaním zdrojových kódov je niečo nové? SvM? eID klient? OPII projekty?