Potężna wpadka ministerstwa cyfryzacji. Chodzi o aplikację, której używają miliony Polaków!
Kontekst prawny
Przypomnijmy, ustawa z 26 maja 2023 r. o aplikacji mObywatel nakazywała publikację kodu źródłowego w BIP w ciągu 12 miesięcy od wejścia w życie, czyli do lipca 2024 r.
Termin przesunięto po nowelizacji związanej z ustawą o pomocy obywatelom Ukrainy, wprowadzając wymóg opinii CSIRT GOV, CSIRT MON i CSIRT NASK w sprawie bezpieczeństwa. Ostatecznie fragmenty kodu opublikowano 29 grudnia 2025 r., ale... z poważnymi ograniczeniami i w kuriozalny sposób.
Forma publikacji budzi wątpliwości
Kod nie jest dostępny jako otwarty plik czy repozytorium GitHub (to specjalny serwis, który służy do publikacji i współpracy społeczności przy tworzeniu kodu), lecz wymaga logowania do BIP i potwierdzenia tożsamości, z zakazem pobierania.
Eksperci w serwisie Reddit krytykują to jako "security by obscurity" (strategia polegająca na ukrywaniu szczegółów technicznych systemu), gdzie ukryte fragmenty mogą zawierać wrażliwe funkcje, np. generowanie hologramów czy integracje API.
Dodatkowo, CSIRT MON sugerował wgląd "tylko do odczytu", co resort wdrożył, ale bez pełnej licencji open source.
Reakcje społeczności
Użytkownicy takich forów jak Reddit wyśmiewają rozwiązanie, porównując je do dostępu "na papierze perforowanym" w ministerstwie. Organizacje cyberbezpieczeństwa i fundacje domagały się pełnego audytu, argumentując, że jawny kod wzmacnia zaufanie.
Ministerstwo podkreśla, że decyzja wynika z opinii ich ekspertów i w takiej formie nie zagraża użytkownikom. Dodajmy, iż aplikacja mObywatel służy do cyfrowych dokumentów dla milionów osób, ale brak pełnego kodu uniemożliwia niezależne weryfikacje luk.
Według użytkowników X-a komentujących decyzję ministerstwa, publikacja kodu w takiej formule podważa zaufanie do rządowych narzędzi cyfryzacji w Polsce.
- Gratulacje za historyczny krok w stronę "transparentności". Opublikowanie kodu źródłowego mObywatela okazało się bowiem mistrzowskim numerem iluzjonistycznym: publiczność słyszy fanfary o otwartości, kurtyna się unosi, a na scenie... wyłącznie kod interfejsu użytkownika. (...) Wpis sugeruje spełnienie rekomendacji CSIRT-ów i pełną transparentność, podczas gdy kluczowa logika aplikacji, mechanizmy bezpieczeństwa i backend pozostają nietknięte. To nie jest "kod źródłowy aplikacji" - to fragment dekoracji. Używanie w tym kontekście pojęcia "publikujemy kod źródłowy" jest więc nie tylko mylące, ale nosi znamiona świadomej manipulacji komunikacyjnej. (...) Podsumowując: to nie jest otwarcie kodu. To PR-owy teatrzyk, w którym obywatel ma klaskać, nie zaglądając za kulisy. A jeśli ktoś jednak zajrzy - cóż, wtedy spektakl nagle się kończy - czytamy w jednym z komentarzy.
źr. wPolsce24
Czytaj także
