Project Manager Ярослав Шерстюк в своем сообщении на Facebook подверг критике запущенный вчера приложение-электронный кабине военнообязанного Резерв+.
Project Manager Ярослав Шерстюк в своем сообщении на Facebook подверг критике запущенный вчера приложение-электронный кабине военнообязанного Резерв+.
«О Резерве+. Уже больше десяти лет я занимаюсь разработкой и внедрением программного обеспечения для военных. За это время ни разу не допустил такой передряги, как в случае с Резерв+. Мой опыт позволяет мне давать экспертную оценку: я создавал военный мессенджер MilChat, приложения для артиллерии и ситуационной осведомленности УКРОП, используемые десятками тысяч пользователей. И делал это с небольшой командой и без государственного финансирования», — отметил он.
Яросслав приводит следующие аргументы, чтобы подтвердить свои слова.
Во-первых, у многих пользователей не работает авторизация через BankiD. Это единственный метод авторизации.
Во-вторых, код приложения не обфускован, то есть доступен для любого, кто его скачал. «Об обфускации даже джун знает, протобаф в помощь. Открытость кода привела к быстрому реверсинженирингу, и заинтересованные айтовцы обнаружили странные вещи, например фрагменты кода, похожие на код школьного онлайн-дневника. Что это вообще такое, как такое может быть», — объяснил Ярослав.
В-третьих, самое интересное — приложение официально проверено соответствующими органами на соответствие требованиям кибербезопасности и защиты персональных данных. «Но текущее состояние свидетельствует о формальном подписании документов, вероятно, без должного анализа», — отметил Шерстюк.
В-четвертых, техническая поддержка приложения осуществляется через Telegram Минобороны. «Это опасно, учитывая возможное сотрудничество Telegram с российскими спецслужбами», — говорит он.
В-пятых, приложение Резерв+ финансируется из государственного бюджета, то есть из средств налогоплательщиков. «Это означает, что на разработку и поддержку программы выделяются значительные финансовые ресурсы, которые могли бы быть использованы для других важных потребностей», — объясняет свое мнение айтовец.
Он добавляет, что руководство проектом осуществляет заместитель министра обороны, придающий весомости и ответственности за качество продукта. «Но несмотря на значительные ресурсы и высокий уровень руководства, качество приложения вызывает серьезные вопросы», — говорит Шерстюк.
PM пришел к следующему выводу: релиз выкатили через **твою мать, чтобы успеть до 18 мая, когда вступает в силу новый закон о мобилизации. Получилось, как всегда, — спешка навредила качеству.
Пока советую лучше пойти в ЦНАП, чем пользоваться приложением.
Кроме технических проблем неполно есть и еще какие-то подводные камни», — говорит Ярослав.
В комментариях к сообщению айтовцы в большинстве своем соглашаются с автором поста.
«В данном случае там не хватало в первую очередь продакт менеджера, который сказал бы „а давайте без оверинжениринга сделаем сайт с одной формочкой и аутентификацией через действие/bankid“. Если нужно за месяц что-нибудь выкатить в прод, то это кажется единственным реалистическим решением без компромиссов по качеству и безопасности», — пишет Senior Software Engineer Виталий Котляренко .
«После того, как начал служить в ВСУ и узнал уровень совка в армии, меня вообще не удивляет, что армейский программный продукт Резерв+ не работает как положено. К сожалению, здесь даже ТЦК не может передать в воинские части такие элементарные данные, как ИНН и медицинские выводы ВЛК. Что там уж говорить об интеграции с BankID. О службе поддержки в Telegram я не знал. Если это правда, это очередная армейская жесть…», — отмечает TypeScript developer Костя Третьяк .
Евгений Данилов, Senior Developer, отметил: «Здесь нюанс-вы создавали программное обеспечение которым должны пользоваться. А это — формальность, чтобы потом сказать „у вас была возможность, было приложение“. Который выкатили ху*к-ху*к и в продакшн потому что у него будущего нет. Цель же мобилизовать людей, а не приложениями играть. Такова логика. Это чисто показать что „какие мы прогрессивные“, даже в США нет такого что резервы подтягивают через приложение. Цифровизация как еще один способ пилить средства».
ДОПОЛНЕНО. На аргументы Ярослава Android Lead/Mobile Architect Владимир Невмержицкий написал ответный пост с контраргументами. Приводим его тоже.
Владимир также рассказал: «Когда я проходил собеседование в команду застущения «Мечта и понимал детали, как оно все работает, не сказал бы, что там привлечены аж большие средства. Приложение должно было начинать делать команда из SoftServe или что-то такое и передавать его выделенному под конкретный проект команде в Минцифри. Вполне может быть, что здесь было так же.
По его мнению, если проанализировать код Действия, то можно понять, что он построен по мультимодульной структуре. «Не лучший пример такой архитектуры, я бы сказал, что очень тупой, но и не самый плохой. Суть в том, что эти модули могут содержать ресурсы, которые потом шарятся в компании на подобных продуктах. Больше всего, что эти два приложения начинались вместе и некоторые компоненты переиспользовались, но из-за криворукости определенных людей не все было верно подчищено. Это можно говорить после того, когда несколько часов посидишь по обфускованному коду», — отметил Невмержицкий.
Он также добавил, что как безопасник рад видеть, что разработчики постарались в плане защиты, поскольку такие штуки как проверка на root, защита от MITM-атак, обфускация (хоть и кривая, без чистки ресурсов, будь она, то всего этого цирка и не было бы), проверка хостов, валидации deep-link и еще пару вещей было сделано. «Не радуют только определенные штуки, которые они протыкали, но это будет на их совести, если кто-нибудь додумается до таких векторов атак и что-то из этого вылезет. В общем, разогнали предательство там, где его нет», — отметил специалист.
Напомним, что Минобороны запустило приложение Резерв+ с 18 мая 2024 года. В нем уже зарегистрировалось более 150 000 военнообязанных. Тем временем айтовцы жаловались о неисправностях в работе сервиса. Минобороны заявило о попытках врага сломать приложение.
