Безопасность операционных систем отечественного производства стала центральной темой IX Международной научно-практической конференции OS DAY 2022, состоявшейся в конце июня в главном здании Российской академии наук. В первую очередь, речь шла о свободном программном обеспечении.

Круглый стол «Доверенное отечественное ПО: риски сегодняшнего дня и модели долгосрочного устойчивого развития»

Круглый стол «Доверенное отечественное ПО: риски сегодняшнего дня и модели долгосрочного устойчивого развития»

 

«Дискуссия “за СПО” или “против СПО” давно потеряла смысл, потому что базисом всего софта, который будет развиваться в мире, отныне и навсегда будет Open Source, и от этого никуда не деться», – сказал Дмитрий Завалишин, генеральный директор ГК DZ Systems, один из основателей OS DAY. В большинстве современных программных решений сегодня действительно в той или иной мере используется свободный код, будь то ядро Linux или прикладные программы. В этой связи становится необычайно актуальным вопрос безопасности СПО, которому отчасти были посвящены конференция OS DAY 2022 и организованный в рамках ее круглый стол «Доверенное отечественное ПО: риски сегодняшнего дня и модели долгосрочного устойчивого развития». В последнем приняли участие разработчики российских операционных систем, специалисты из научных институтов и коммерческих компаний, а также представители российских министерств и ведомств.  

«Безопасность операционных систем – сложная тема, – отметил, начиная дискуссию, Арутюн Аветисян, директор ИСП РАН. – Но мы продолжаем создавать новые технологии и развивать существующие, стремиться к технологическому суверенитету. Наиболее значимые шаги в этом направлении – запуск Технологического центра исследования безопасности ядра Linux под эгидой ФСТЭК России и создание по близкой схеме инфраструктуры для систематического исследования безопасности критичных компонентов». В рамках этих проектов происходит объединение усилий отечественных разработчиков по обеспечению безопасности наиболее востребованных компонентов свободного программного обеспечения. Развиваются методики исследования безопасности, изучаются потенциальные угрозы, выявленные с помощью статического анализа и фаззинг-тестирования, готовятся исправления.

Как рассказал в своем докладе ведущий научный сотрудник ИСП РАН Алексей Хорошилов, подводя первые итоги работы Технологического центра, сегодня сформированы процессы сопровождения ветки ядра Linux версии 5.10, рекомендуемой для использования при конструировании отечественных операционных систем, создана экспертная группа, состоящая из представителей 14 российских компаний, в рамках которой формируются принципы функционирования Технологического центра и отрабатывается применение разработанных методик исследования безопасности ядра. В ходе этих работ уже удалось выявить несколько десятков ошибок, исправления для которых были отправлены в международное сообщество разработчиков и включены последними в основную ветку ядра. 

По словам Дмитрия Шевцова, начальника управления ФСТЭК России, отечественные операционные системы постепенно перестраиваются для работы с программным обеспечением, рекомендованным Технологическим центром. «Основное направление нашей деятельности в обеспечении защиты информации – это применение сертифицированных доверенных технологий, сертифицированных операционных систем, средств виртуализации, средств контейнеризации, сертифицированных систем управления базами данных, – подчеркнул он в выступлении на круглом столе. – Мы уходим от применения “наложенных” средств защиты и движемся в направлении разработки собственных технологий, на которые можно уверенно полагаться, используя их в критической инфраструктуре Российской Федерации».

Другим фронтом работ, напрямую связанным с обеспечением безопасности свободного кода, должно стать создание отечественного репозитория СПО, о котором рассказал в ходе круглого стола Евгений Хасин, заместитель директора Департамента обеспечения кибербезопасности Минцифры России. «Мы должны обеспечить доступность ПО и привлечение к работе на этой площадке отечественных специалистов, – подчеркнул он.  – Они должны принимать активное участие в разработке и развитии свободного программного обеспечения на российских площадках. Вопрос только в том, насколько отечественные компании готовы выкладывать свой код в свободный доступ, чтобы в дальнейшем наши молодые специалисты учились на их опыте, развивали и внедряли собственные продукты».

зал

Создавать отечественный репозиторий призвал и Валерий Егоров, заместитель директора НТП «Криптософт»: «Мы как создатели отечественной проприетарной операционной системы QP ОС тоже заинтересованы в большем доверии к открытому ПО, поскольку также периодически применяем решения на его основе на прикладном уровне».

Независимый веб-сервис для хостинга ИТ-проектов призван помочь аккумулировать компоненты программного кода, созданные российскими специалистами, отвечающими за его качество и безопасность. Как отметил в своем выступлении Алексей Новодворский, советник генерального директора «Базальт СПО», сегодня на безопасность необходимо обращать особое внимание, так как «существует заметное количество важных компонентов, правообладателями которых являются крупные корпорации, преследующие свои интересы и ведущие собственную политику. Раньше мы в этом ничего плохого не видели, но теперь этот факт приходится учитывать. Мир изменился».

«Есть некая идеальная модель мира, в которой есть СПО, а довлеющего центра, насаждающего принятие каких-то решений, не существует, вместо него – сообщество программистов, совместно развивающих создаваемые ими продукты, – резюмировал Дмитрий Завалишин. – Россия в такой модели заинтересована, и мы хотели бы к ней двигаться, всемерно ее поддерживать. С другой стороны, существует ситуация, при которой в определенных сообществах разработчиков есть центры принятия решений, на которые мы как страна воздействие имеем слабое, и иногда это создает для нас проблемы. Создание отечественного репозитория поможет приблизиться к идеальной модели и очень многие проблемы решить».

 

Автор текста: Сергей Кормилицын

Автор фото: Вадим Мелешко

Информация и фото предоставлены организаторами конференции OS DAY