Fala krytyki po publikacji kodu źródłowego mObywatela. „Odhaczono” ustawowy obowiązek?

Przypomnijmy: pierwotna wersja Ustawy o aplikacji mObywatel z dnia 26 maja 2023 r. zakładała publikację kodu źródłowego w ciągu 12 miesięcy od wejścia w życie tego aktu prawnego. Artykuł 82 Ustawy, obowiązujący od 14 lipca 2023 r., brzmiał następująco:

Minister właściwy do spraw informatyzacji po raz pierwszy udostępni kod źródłowy aplikacji mObywatel w Biuletynie Informacji Publicznej na swojej stronie podmiotowej w terminie 12 miesięcy od dnia wejścia w życie niniejszej ustawy
art. 82 tekstu ogłoszonego Ustawy o aplikacji mObywatel z dnia 26 maja 2023 r.

Nie ujrzeliśmy kodu aplikacji w planowanym terminie. 1 lipca 2024 roku weszła w życie ustawa o pomocy obywatelom Ukrainy, która uchyliła wspomniany artykuł, zastępując go art. 81a o następującym brzmieniu:

Art. 81a. 1. Minister właściwy do spraw informatyzacji, po uzyskaniu opinii CSIRT GOV, CSIRT MON i CSIRT NASK, o których mowa w art. 2 pkt 1–3 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz. U. z 2023 r. poz. 913 i 1703), udostępni w Biuletynie Informacji Publicznej na swojej stronie podmiotowej kod źródłowy aplikacji mObywatel w zakresie niezagrażającym bezpieczeństwu tej aplikacji oraz jej użytkowników lub systemu mObywatel.
art. 11 ustawy z dnia 15 maja 2024 r. o zmianie ustawy o pomocy obywatelom Ukrainy w związku z konfliktem zbrojnym na terytorium tego państwa oraz niektórych innych ustaw

2. Minister właściwy do spraw informatyzacji ogłasza w Dzienniku Urzędowym „Monitor Polski” komunikat określający dzień udostępnienia kodu źródłowego aplikacji mObywatel.
art. 11 ustawy z dnia 15 maja 2024 r. o zmianie ustawy o pomocy obywatelom Ukrainy w związku z konfliktem zbrojnym na terytorium tego państwa oraz niektórych innych ustaw

8 maja 2024 roku wiceminister Michał Gramatyka opublikował wpis na portalu X, gdzie deklarowano „modułową publikację kodu na zasadach podobnych do ukraińskiej Diia”.

Przypomnijmy, że kod źródłowy wspomnianego odpowiednika mObywatela jest dostępny na GitHubie i można w nim sugerować zmiany, czego nie umożliwia platforma z kodem mObywatela.

Sagi ciąg dalszy?

Zmiana Ustawy o aplikacji mObywatel wykreśliła termin publikacji kodu. Wiedzieliśmy jedynie, że konieczne jest uzyskanie opinii trzech CSIRT-ów poziomu krajowego. Harmonogram prac prezentował się następująco:

• marzec 2023: przyjęcie poprawki nakazującej publikację kodu mObywatela. „Każdy obywatel ma prawo zweryfikować kod źródłowy aplikacji, która jest dostarczona przez państwo polskie (...)" - stwierdził wówczas Paweł Lewandowski, podsekretarz stanu w Ministerstwie Cyfryzacji;
• 14 lipca 2023: wejście w życie Ustawy o mObywatelu z planowaną publikacją kodu w ciągu 12 miesięcy;
• maj 2024: jednogłośne przyjęcie poprawki podczas Komisji Administracji i Spraw Wewnętrznych odnośnie konieczności uzyskania opinii trzech CSIRT-ów przed publikacją kodu;
• 1 lipca 2024: wejście w życie Ustawy o pomocy obywatelom Ukrainy, wykreślającej pierwotny punkt o publikacji kodu;
• lipiec 2024: Ministerstwo Cyfryzacji przekazało nam, że "jest jeszcze w trakcie kontaktów roboczych z CSIRT-ami i prac związanych z uzyskaniem opinii";
• sierpień 2024: ABW oraz DKWOC dotychczas nie uzyskały prośby od MC o przygotowanie opinii;
• wrzesień 2024: COI odpowiada na pytania dot. publikacji kodu źródłowego. Wówczas podkreślono BIP jako miejsce publikacji kodu oraz brak planowanego sugerowania zmian w kodzie źródłowym. Wiadomo również, że 20 sierpnia 2024 r. odbyło się spotkanie MC z ABW, DKWOC i NASK związane z uzyskaniem opinii;
• grudzień 2024: opinie CSIRT GOV i CSIRT NASK są „w przygotowaniu”;
• sierpień 2025: na łamach wyborcza.biz Ministerstwo Cyfryzacji poinformowało o uzyskaniu opinii CSIRT-ów oraz planowanej publikacji kodu w listopadzie;
• wrzesień 2025: w odpowiedzi na interpelację poselską posłanki Pauliny Matysiak poinformowano o publikacji kodu do końca 2025 roku;
• październik 2025: portal kontrabanda.net uzyskuje opinię CSIRT MON w ramach dostępu do informacji publicznej - pozostałe opinie pozostają niejawne;
• 28 listopad 2025: wskazano datę publikacji kodu na 29 grudnia br.;
• 4 grudnia 2025: w Monitorze Polskim ukazuje się dokument określający datę publikacji kodu źródłowego;
• 29 grudnia 2025: opublikowano fragmenty kodu źródłowego mObywatela.

Publikacja kodu mObywatela

Opinia CSIRT MON nakazywała coś niezgodnego z duchem otwartoźródłowego oprogramowania i ciężko wytłumaczalnego pod kątem praktycznego użytkowania, mianowicie:

• możliwość wglądu w kod bez możliwości pobierania;
• pełną rozliczalność użytkowników;
• organiczenie wglądu do obywateli RP.

Warto również zaznaczyć, że nie znamy treści opinii CSIRT GOV i CSIRT NASK - nie wiemy, jakie obostrzenia zostały nałożone w opiniach.

„Minister Cyfryzacji, po uzyskaniu wymaganych ustawowo opinii CSIRT MON, CSIRT ABW oraz CSIRT NASK, udostępnił część kodu źródłowego aplikacji, prezentującą filozofię oraz strukturę kodowania. Części kodu nieudostępnione do publicznego wglądu mogą zawierać funkcje o kluczowym znaczeniu z punktu widzenia bezpieczeństwa aplikacji. Publikowany kod nie zawiera żadnych danych użytkowników. Dostęp do udostępnionej części kodu źródłowego aplikacji mObywatel jest możliwy po potwierdzeniu tożsamości jedną z wybranych metod. Wymóg ten wynika z rekomendacji zawartych w opinii CSIRT MON, dotyczących zapewnienia kryterium rozliczalności użytkowników” - czytamy w BIP MC.

W artykule dotyczącym publikacji kodu źródłowego podkreśliliśmy, że domyślnie niemożliwe jest zaznaczanie kodu w celu skopiowania go. Kilku programistów, zgodnie z licencją (MIT), przekopiowało kod na GitHuba.

„Farba do fasady obiektu”

Użytkownik fajfer udostępnił kod mObywatela z następującym komentarzem:

Wyobraźmy sobie, że mObywatel jest wielkim kompleksem budowli, mieliśmy poznać sekrety tego kompleksu - zamiast tego dowiedzieliśmy się, jaka farba została użyta do pomalowania fasady obiektu...
fajfer, GitHub

Programista podkreślił również, że w kodzie brakuje m.in.:

• logiki biznesowej;
• API;
• modułu uwierzytelnania;
• dokumentacji.

Nie jest to odosobniona opinia. Zdecydowana większość osób związanych z środowiskiem IT odnosi się negatywnie do zakresu i sposobu publikacji.

„(…) udostępnienie kodu appki mObywatel wygląda tak, jakby ktoś udostępnił kod webowej appki mObywatel ale tylko postaci plików HTML, które i tak każdy posiada. Przy okazji nie udostępniono plików JavaScript (które i tak każdy ma). Innymi słowy: udostępniono części frontendu bez najistotniejszych elementów – czyli backendu” - stwierdził Sekurak, podkreślając w artykule, że takie udostępnienie niewiele wnosi w zakresie merytorycznej pracy z kodem.

„To, co jednak wczoraj miało miejsce, nie sposób inaczej określić jak pokazanie środkowego palca całej społeczności IT, która chciała wspomóc ministerstwo w tworzeniu bezpiecznej i jednocześnie transparentnej dla obywatela platformy usług rządowych” - kwituje Tomasz Janusz na portalu X.

W podobnym tonie wypowiedział się Adrian Zandberg, poseł Razem, który jest z zawodu programistą. „To jest jakiś wyrafinowany żart?” - stwierdził.

„Główny plik aplikacji ContentView.swift zawiera dosłownie napis „Hello, world!”. Brak logiki czy działających funkcji. Nie da się zrozumieć co to robi i jak działa. Testy sprawdzają poprawność wizualnego renderowania komponentów interfejsu użytkownika. Brak testów funkcjonalnych, integracyjnych czy bezpieczeństwa. Czego brakuje: WSZYSTKIEGO ISTOTNEGO” - powiedział dr Łukasz Olejnik. „(…) nie ma mowy o publikacji kodu źródłowego. Mówmy o wydarzeniu, o evencie” - dodaje.

Dlaczego nie możemy mieć ładnych rzeczy

„Publikacje kodu mObywatela nakazywało prawo. Prawo też pozwalało zablokować publikację całości lub części kodu. I niektóre trzyliterowki to właśnie zarekomendowały” - stwierdza z kolei Niebezpiecznik.

Faktycznie nietypowe wydaje się wybranie licencji MIT przy takich obostrzeniach dostępu, co wskazywał Tomasz Rychter na portalu X.

„Rząd udostępnił kod mObywatela jako pliki HTML na WWW (łaskawcy, bo mogli dać po jednym wydrukowanym egzemplarzu do każdej biblioteki), więc mili ludzie wrzucają na GitHuba (…) Teraz przynajmniej nie wiemy, która kopia na GH jest niezmodyfikowana :)” - kwituje Zaufana Trzecia Strona.

30 grudnia odbyła się konferencja prasowa wiceministra Dariusza Standerskiego w związku z opublikowaniem chatbota w mObywatelu.

„(Kod źródłowy - red.) został opublikowany po zaopiniowaniu przez odpowiednie CSIRT-y, dwie opinie w tym zakresie mają charakter niejawny, w związku z tym zaimplementowaliśmy je w ten sposób. Z oczywistych powodów nie możemy ich tutaj przytaczać, ale jest to podstępowanie zgodne z ustawą” - przekazał wówczas sekretarz stanu, cytowany na łamach wnp.pl.

„Dla jasności – uważamy że mObywatel to dobre rozwiązanie, nawet bardzo dobre. Ale w ten sposób udostępniać kod źródłowy całości? Dajcie spokój” - dzieli się opinią Sekurak.

Co dalej?

Poniższy fragment to opinia autora i może odbiegać od obiektywnego przedstawiania faktów.

Niestety z wydarzenia mogącego faktycznie zwiększyć poziom zaufania do aplikacji postanowiono „odhaczyć” obowiązek, niczym uczeń przepisujący pracę domową od kolegów na pięć minut przed dzwonkiem na lekcję. Ciężko jednak stwierdzić z czego konkretnie to wynika, ponieważ nie znamy treści opinii CSIRT GOV i CSIRT NASK.

Opublikowanie takiego zakresu kodu nie umożliwia tego, na co z założenia pozwala otwarty kod źródłowy - analizy kodu źródłowego aplikacji. I choć to zdanie brzmi nieco prześmiewczo - warto przytoczyć opinię fajfera o brakujących elementach kodu.

Prawdopodobne środowisko testowe roztaczało przed nami wizję kodu na GitHubie. Niestety, nadzieje okazały się płonne, a szkoda.

„Władzuchno. Jeśli chcesz redukować transparentność, miej odwagę zrealizować to ustawą” - apeluje Informatyk Zakładowy.

Wierzyłem, że opublikowanie kodu źródłowego faktycznie zwiększy zaufanie do aplikacji. Niestety taka forma publikacji fragmentów sprawia, że jest to niemożliwe: nie można oceniać bezpieczeństwa auta na bazie koloru jego lakieru.

Czy naprawdę nieopublikowany kod zagraża „bezpieczeństwu tej aplikacji oraz jej użytkowników lub systemu mObywatel”, zgodnie z art. 81a obowiązującej Ustawy o aplikacji mObywatel? Nie wiemy i raczej się nie dowiemy, skoro opinie dwóch CSIRT-ów są niejawne.

To nie jest „public money, public code”.

Osoby, które chcą się z nami anonimowo skontaktować, zapraszamy do  formularza w zakładce „Kontakt” (u dołu strony). Przypominamy, że na bazie art. 5 oraz art. 15 Prawa Prasowego, każdy może udzielać informacji bez podawania swojej tożsamości.