Oficjalnie publikacja kodu źródłowego mObywatela miała być dowodem otwartości państwa na kontrolę społeczną. Problem w tym, że udostępniony materiał nie jest kompletny. Zabrakło ważnych elementów - m.in. logiki serwerowej i infrastruktury, co – zdaniem części specjalistów – znacząco ogranicza realną możliwość analizy bezpieczeństwa i funkcjonowania aplikacji. Według krytyków trudno mówić o pełnej przejrzystości projektu, skoro brakuje najważniejszych komponentów technicznych.
Publikacja kodu wywołała także dyskusję o cyberbezpieczeństwie. Część ekspertów argumentuje, że jawność sprzyja poprawie jakości systemu – umożliwia społeczne audyty i wykrywanie luk. Inni ostrzegają, że to jednocześnie ułatwienie dla potencjalnych przestępców, którzy zyskują materiał do analizy. Spór dotyczy także licencji – w obecnym kształcie dostęp nie przypomina pełnego modelu open source.
Ustawa i ograniczenie w publikacji kodu źródłowego
Zgodnie z ustawą o aplikacji mObywatel z 26 maja 2023 roku, kod miał trafić do BIP do lipca 2024 roku. Termin został jednak przesunięty po nowelizacji związanej z ustawą o pomocy obywatelom Ukrainy. Dodano wymóg uzyskania opinii trzech struktur bezpieczeństwa: CSIRT GOV, CSIRT MON i CSIRT NASK. Ostatecznie fragmenty kodu opublikowano 29 grudnia 2025 roku – w trybie znacząco ograniczonym.
Kod nie został udostępniony w klasycznej formie repozytorium (np. GitHub). Aby go zobaczyć, trzeba zalogować się w systemie BIP i potwierdzić tożsamość. Zabroniono także pobierania plików. To rozwiązanie jest szeroko krytykowane w środowiskach technologicznych.
Ukrywanie informacji, a nie wzmacnianie bezpieczeństwa aplikacji
Na forach eksperckich – m.in. Reddit – pojawiły się zarzuty dotyczące ochrony systemu poprzez ukrywanie informacji zamiast realnego wzmacniania zabezpieczeń. Komentujący wskazują, że właśnie w "niewidocznej" części mogą znajdować się najbardziej newralgiczne funkcje, np. elementy generujące hologramy dokumentów czy integracje API. CSIRT MON rekomendował wgląd "tylko do odczytu”, co resort wdrożył, jednak bez zastosowania pełnej licencji otwartego oprogramowania.
W mediach społecznościowych rozwiązanie bywa wyśmiewane jako pozorne otwarcie. Część użytkowników portalu X wypomina resortowi cyfryzacji, że publikacja w takiej formule zamiast wzmacniać zaufanie, to je znacząco obniża. Organizacje zajmujące się bezpieczeństwem cyfrowym apelują o rzeczywisty otwarty dostęp i pełen audyt. Ministerstwo natomiast odpowiedziało krytykom, że działa zgodnie z sugerowanymi opiniami ekspertów, a przyjęta formuła ma chronić użytkowników aplikacji mObywatel – cyfrowego narzędzia wykorzystywanego przez miliony Polaków. Pełna analiza bezpieczeństwa jest jednak niemożliwa bez całości kodu i infrastruktury.
Red.
Komentarze
Pokaż komentarze (13)