Open source jako nowe pole geopolitycznej walki. USA ostrzegają przed Rosją i Chinami

W grudniu 2025 roku w amerykańskim systemie bezpieczeństwa narodowego ponownie pojawiło się ostrzeżenie dotyczące fundamentalnych zagrożeń cybernetycznych. 

Tom Cotton, przewodniczący senackiej komisji ds. wywiadu, skierował oficjalny list do Seana Cairncrossa, dyrektora Krajowego Biura ds. Cyberbezpieczeństwa (ONCD), wskazując na narastające i – jego zdaniem – niedostatecznie kontrolowane ryzyko, wynikające z powszechnego wykorzystania oprogramowania typu open source w systemach rządu federalnego Stanów Zjednoczonych, w tym w systemach o kluczowym znaczeniu wojskowym i obronnym.

W swoim wystąpieniu Cotton nie kwestionuje znaczenia open source jako takiego. Podkreśla, że to właśnie otwarte oprogramowanie stało się fundamentem nowoczesnego państwa cyfrowego. 

Komponenty open source znajdują się dziś w zdecydowanej większości systemów informatycznych używanych przez administrację publiczną, wojsko oraz operatorów infrastruktury krytycznej. Jak zaznacza Agencja ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury USA (CISA), OSS stanowi podstawę infrastruktury cyfrowej rządu federalnego i wszystkich sektorów infrastruktury krytycznej.

Rywalizacja geopolityczna zmienia reguły gry

Aktualny model open source opiera się na globalnej, zdecentralizowanej współpracy i domniemaniu dobrej woli uczestników. Zdaniem Cottona, założenie to nie przystaje już do realiów rywalizacji geopolitycznej.

W liście ostrzega, że Chiny i Rosja traktują dziś ekosystem open source jako długoterminowe narzędzie infiltracji łańcuchów dostaw oprogramowania, umożliwiające wprowadzanie złośliwego kodu do powszechnie używanych projektów, od których zależą systemy federalne USA.

Najbardziej obrazowym przykładem tego typu zagrożeń był incydent związany z biblioteką XZ Utils. W 2024 roku badacz bezpieczeństwa Andres Freund odkrył w niej zaawansowany backdoor umożliwiający zdalne wykonanie kodu. 

Zmiany zostały wprowadzone przez osobę posługującą się pseudonimem „Jia Tan”, która przez niemal trzy lata budowała zaufanie społeczności i stopniowo uzyskiwała wpływ na projekt. Eksperci określili ten incydent jako jeden z najbardziej wyrafinowanych ataków na łańcuch dostaw open source w historii. 

Cotton zwrócił uwagę, że pojedyncze incydenty są jedynie symptomem głębszego problemu strukturalnego. Przykładem jest pakiet fast-glob, wykorzystywany w dziesiątkach pakietów oprogramowania używanych przez Departament Obrony USA. Projekt ten posiada jednego głównego administratora – rosyjskiego programistę – co według analityków stwarza ryzyko potencjalnego przymusu państwowego, nawet jeśli nie istnieją dowody na wrogą aktywność.

Polityka Chin wywołała reakcję

W liście senatora istotne miejsce zajmuje również kwestia wkładu chińskich korporacji technologicznych, takich jak Alibaba oraz Huawei, które znalazły się wśród 20 największych globalnych kontrybutorów open source. 

Cotton wskazuje, że obowiązująca w Państwie Środka ustawa o bezpieczeństwie narodowym nakłada na firmy obowiązek współpracy z aparatem państwowym, co rodzi pytania o możliwość wykorzystywania ich pozycji w projektach open source do celów strategicznych.

Należy jednak zaznaczyć, że pewną formą reakcji na ten problem było memorandum opublikowane w lipcu 2025 roku przez sekretarza obrony Pete Hegsetha, w którym to Departament Obrony USA zapowiedział zaprzestanie nabywania oprogramowania podatnego na wrogie wpływy zagraniczne oraz przegląd istniejących systemów. 

Pomimo tego autor listu zauważa, że bez realnej widoczności pochodzenia kodu i zależności oprogramowania dokument ten pozostaje w dużej mierze deklaracją intencji.

Szerszy kontekst pokazuje, że problem ten ma charakter globalny. Analizy firm badawczych i publikacje branżowe wskazują, że Chiny, Rosja, Iran i Korea Północna prowadzą długoterminowe operacje wymierzone w łańcuchy dostaw oprogramowania, traktując je jako nową domenę rywalizacji strategicznej.

Głos ekspertów

List Cottona wywołał intensywną debatę w społeczności open source. Krytycy ostrzegają przed fragmentacją globalnego ekosystemu i stygmatyzacją twórców ze względu na narodowość, podczas gdy zwolennicy zaostrzenia nadzoru argumentują, że systemy obronne i infrastruktura krytyczna nie mogą opierać się wyłącznie na domniemaniu dobrej woli.

Na ostrzeżenia formułowane przez senatora Cottona zareagowało również szerokie grono ekspertów z obszaru cyberbezpieczeństwa i inżynierii oprogramowania, których komentarze w większości nie negują samego istnienia zagrożeń, lecz starają się osadzić je w szerszym, bardziej technicznym i strukturalnym kontekście. 

Wielu analityków podkreśla, że ryzyka związane z oprogramowaniem open source były sygnalizowane od lat, jednak dopiero nadanie im rangi oficjalnego ostrzeżenia politycznego sprawiło, iż zaczęto je postrzegać jako problem systemowy, wymagający skoordynowanej reakcji państwa, a nie wyłącznie działań poszczególnych zespołów technicznych.

Eksperci zwracają uwagę, że znaczna część zagrożeń w ekosystemie OSS nie wynika bezpośrednio z działań aktorów państwowych, lecz z chronicznych problemów związanych z utrzymaniem kodu. 

Znaczna część kluczowych komponentów open source rozwijanych jest przez niewielkie zespoły lub pojedynczych wolontariuszy, często bez stabilnego finansowania i bez formalnych procedur bezpieczeństwa. Zależności te bywają przestarzałe, rzadko aktualizowane i zawierają znane podatności, które przez długi czas pozostają niezałatane. 

Tego rodzaju problemy, jak wskazuje OWASP, stanowią jedną z głównych przyczyn podatności w nowoczesnych aplikacjach i są niezależne od geopolitycznego pochodzenia autorów kodu.

Jednocześnie są też specjaliści, którzy twierdzą, że open source – wbrew niektórym alarmistycznym interpretacjom – nadal oferuje mechanizmy obronne niedostępne w modelach zamkniętych. 

Publiczny charakter kodu, możliwość niezależnego audytu oraz transparentność procesu rozwoju sprawiają, że potencjalne zagrożenia mogą zostać wykryte szybciej, o ile organizacje korzystające z OSS wdrażają odpowiednie praktyki zarządzania ryzykiem. 

W publikacjach branżowych coraz częściej podnosi się argument, że kluczowym problemem nie jest sam model open source, lecz brak dojrzałości po stronie jego użytkowników. Zarządzanie zależnościami, stosowanie zestawień materiałów oprogramowania (SBOM), regularne audyty bezpieczeństwa oraz wykorzystanie narzędzi do analizy komponentów oprogramowania (SCA) stają się standardem w dojrzałych organizacjach. 

Tego typu podejście promują m.in. rządowe wytyczne publikowane przez GOV.UK, które wskazują, że bezpieczeństwo open source należy traktować jako element zarządzania ryzykiem w całym łańcuchu dostaw, a nie jako problem pojedynczych projektów.

Krytyka amerykańskiego senatora

Równolegle w debacie publicznej pojawiają się głosy krytyczne wobec narracji senatora Cottona, zwłaszcza w odniesieniu do jej potencjalnych skutków politycznych i społecznych. 

Zdaniem krytyków kluczowym wyzwaniem nie jest eliminowanie zagranicznych kontrybutorów, lecz poprawa praktyk bezpieczeństwa po stronie instytucji rządowych, które przez lata korzystały z otwartego oprogramowania, bez pełnej wiedzy o jego strukturze i zależnościach. 

Społeczność IT często przywołuje w tym kontekście przypadki takie jak Log4j, wskazując, że ich źródłem były błędy projektowe, presja czasu oraz niedofinansowanie utrzymania, a nie celowe działania obcych państw. Tego rodzaju argumenty pojawiają się m.in. w analizach publikowanych przez Cybersecurity Dive.

Perspektywę tę wzmacniają badania akademickie, które pokazują, że problem bezpieczeństwa open source ma charakter długofalowy i systemowy. 

Analizy naukowe wskazują, że liczba zgłaszanych podatności w projektach OSS rośnie szybciej niż tempo rozwoju samych ekosystemów, a coraz większą rolę odgrywają ataki polegające na celowym wprowadzaniu złośliwych komponentów lub przejmowaniu kont deweloperskich, szczególnie w popularnych repozytoriach takich jak npm. 

Wnioski te potwierdzają badania opublikowane w repozytorium arXiv, które opisują ataki na łańcuchy dostaw oprogramowania jako jedno z kluczowych zagrożeń dla współczesnych systemów informatycznych.

Stawką jest bezpieczeństwo

Stąd też wnioski płynące z ostrzeżenia senatora Toma Cottona, są jednoznaczne: bezpieczeństwo open source stało się kwestią strategiczną, a nie wyłącznie techniczną. Wymaga ono przejścia od modelu opartego na zaufaniu do modelu ciągłej, systemowej weryfikacji, obejmującej zestawienia materiałów oprogramowania (SBOM), dywersyfikację krytycznych zależności, wsparcie dla utrzymania kluczowych projektów open source oraz międzynarodową koordynację standardów bezpieczeństwa. 

Jak podkreśla Cotton, stawką nie jest przyszłość idei open source, lecz zdolność do ochrony własnej infrastruktury w świecie, w którym kod stał się narzędziem geopolitycznej rywalizacji.