E-dowód może łamać licencję LGPL. PWPW zasłania się bezpieczeństwem narodowym

E-dowód może łamać licencję LGPL. PWPW zasłania się bezpieczeństwem narodowym

8 kwietnia 2020 0 przez Marcin Kaczmarek

E-dowód najprawdopodobniej zawiera zmodyfikowaną bibliotekę OpenSC, rozprowadzaną na licencji LGPL, nakładającą obowiązek publikowania kodu źródłowego rozwiązań, w których została wykorzystana. PWPW odpowiada, że tego nie zrobi.

E-dowód to długo wyczekiwana elektroniczna rewolucja w administracji. Dowód z warstwą elektroniczną ma służyć do łatwego identyfikowania obywatela w kontaktach z administracją państwową. Roztaczane są także wizje zdalnego potwierdzania tożsamości w kontaktach z przedsiębiorstwami komercyjnymi.

Dodatkowymi funkcjami e-dowodu zarządza oprogramowanie stworzone przez PWPW, producenta nowoczesnych dokumentów tożsamości. Stworzenie rozwiązania kosztowało około 27 mln zł, z czego 21,7 mln to środki Ministerstwa Spraw Wewnętrznych i Administracji, zaś 5,25 mln zł zapewniło Ministerstwo Cyfryzacji.

Projekt zajął więcej czasu, niż początkowo zakładano, obecnie jednak wszystkie nowe dowody wydawane przez Polskę oferują już wersję elektroniczną, wokół której powstają powoli państwowe usługi.

Jeden z programistów zaangażowanych w działalność Open Source odkrył, że w kodzie oprogramowania użyto najprawdopodobniej biblioteki publikowanej na otwartej licencji. Wysłał w tej sprawie zapytanie do PWPW i odpowiedzią podzielił się na forum serwisu Github.

E-dowód łamie licencję LGPL? Biblioteka Open Source w kodzie oprogramowania

Programista zauważył, że oprogramowanie e-dowód używa najprawdopodobniej otwartej biblioteki OpenSC, której nazwa została w finalnym projekcie zmieniona na „e-dowod”. Pozostała część nazewnictwa została zachowana, co widać na przykładzie pliku „ e-dowod-pkcs11-64.so”. Do oprogramowania wprowadzono najprawdopodobniej zmiany.

Aktywista jest zdania, że wbrew postanowieniom licencyjnym LGPL PWPW nie udostępniło na otwartej licencji kodów źródłowych oprogramowania, w którym wykorzystano otwarte elementy. Zwrócił się więc do Państwowej Wytwórni Papierów Wartościowych o naprawienie tego przeoczenia.

Proszę o udostępnienie kodu źródłowego aplikacji e-dowód Menedżer, a w szczególności komponentów opartych na otwartych licencjach, jak np.: e-dowod-pkcs11-64.so na LGPL

PWPW odmówiło, powołując się na względy bezpieczeństwa.

Szanowny Użytkowniku, z przyczyn bezpieczeństwa kody źródłowe aplikacji objęte są tajemnicą przedsiębiorstwa i nie mogą być udostępniane. Zespół eDO

Środowisko Open Source zapowiedziało już podjęcie działań w sprawie łamanej licencji LPGL.