В мар­те те­куще­го го­да ста­ло из­вес­тно о том, что ФСТЭК, сов­мес­тно с Ин­сти­тутом сис­темно­го прог­рамми­рова­ния РАН им. В. П. Иван­ни­кова (ИСП РАН) прис­ту­пили к соз­да­нию Тех­но­логи­чес­ко­го цен­тра бе­зопас­ности оте­чес­твен­ных опе­рацион­ных сис­тем. И на вось­мой кон­фе­рен­ции “OS day. Рос­сий­ские ап­па­рат­ные плат­формы и опе­рацион­ные сис­те­мы” этот важ­ный этап в раз­ви­тии сооб­щес­тва оте­чес­твен­ных раз­ра­бот­чи­ков, как его оха­рак­те­ризо­вал ди­рек­тор ИСП РАН Ару­тюн Аве­тисян, не ос­тался без вни­мания.

Форум OS day проводится уже в восьмой раз. Его главная цель – налаживание постоянной обратной связи между российскими разработчиками операционных систем и аппаратных средств, причем начиная с самых ранних этапов. Как подчеркнул во вступительном слове исполнительный директор АРПП “Отечественный софт” Ренат Лашин, ускорение развития отечественных программно-аппаратных комплексов является важнейших задачей. Нужно ускорять появление новых образцов и всячески способствовать развитию уже имеющихся.

Но все же на OS day 2021 ключевой была ключевой тема обеспечения безопасности. Уже в своем приветственном слове президент НП РУССОФТ Валентин Макаров назвал безопасность краеугольным камнем нового технологического уклада. И для ее достижения необходимо обеспечить обратную связь между разработчиками программных и аппаратных средств как между собой, так и с потребителями их продукции. И тут велика роль всяческого рода ассоциаций, которые облегчают такое взаимодействие.

Заместитель директора ФСТЭК Виталий Лютиков подробно рассказал о задачах, которые ставятся перед Центром. На ядре Linux сделано очень много систем разнообразного назначения, и необходимо обеспечить их защищенность. Но для достижения этой цели нужен большой объем работ, который разработчики выполнить по разным причинам не в состоянии, тем более что их усилия разрозненны. При этом объем кода велик (миллионы строк), а число исследователей, способных провести его квалицированный аудит, мало. И создание Центра, в работе которого будут задействованы представители различных компаний, а также вузов и научных учреждений, позволит объединить имеющиеся ресурсы. При этом ни о какой централизации разработки и вмешательстве в процесс создания всяческого рода ПО речи не идет. Но при этом использования ядра, а в перспективе и других компонентов, где использовались патчи, разработанные в Центре, позволит заметно ускорить процесс сертификации.

По мнению ведущего научного сотрудника ИСП РАН Алексея Хорошилова, целью Центра является продвижение лучших практик, подготовка методик и рекомендаций для разработчиков, а не только лишь поиск и устранение разного рода ошибок и уязвимостей. Для поиска таких проблем существует несколько разных типов анализаторов, которые автоматизируют данный процесс. Но при этом есть немало сложностей: определение приоритетов, организация процесса обработки уязвимостей, взаимодействие с международными сообществами разработчиков ядра и прочих компонентов, поддержка российского оборудования. К примеру, как отметил начальник отдела “ОС реального времени и ОС Е90” МЦСТ Вадим Ревякин, многих анализаторов кода для архитектуры “Эльбрус” не существует, причем речь идет о целых классах данного вида ПО. А директор по развитию “Байкал Электроникс” Виталий Богданов обратил внимание на то, что разработчики системного ПО недостаточно используют потенциал в области защиты, который уже заложен в процессор или систему на кристалле. Инженер-программист НПЦ “Элвис” Алексей Иванников поднял проблему анализа кода драйверов устройств, где также немало уязвимостей и прочих проблем, но при этом анализаторов кода, учитывающих их специфику, пока не существует.

Руководитель Группы разработки “Открытой мобильной платформы” Андрей Русалин также обратил внимание на то, что цикл подготовки релизов в разных компаниях не совпадает. Также задачу Центра усложняет то, что приходится поддерживать одновременно несколько одних только ядер Linux с длительной поддержкой, которые используются в актуальных дистрибутивах.

Руководитель направления средств защиты серверов и рабочих станций компании “Код безопасности” Александр Котов призвал также учитывать те изменения в ядро Linux, которые вносят разработчики специализированных устройств. А счет им идет уже на десятки.

Директор Департамента системных продуктов “Редсофт” Роман Симаков подчеркнул, что только кооперация и консолидация усилий различных российских разработчиков позволит стать заметным участником общего процесса разработки ядра Linux, к которому будут прислушиваться остальные. При этой каждой из компаний в отдельности этого сделать невозможно из-за недостатка ресурсов. Но при этом формы такого взаимодействия между разными разработчиками как ПО, так и аппаратных средств еще предстоит выработать. Также Роман Симаков призвал не ограничиваться только проблемами безопасности.

Заместитель генерального директора “ИнфоТеКС” Дмитрий Гусев также обратил внимание на необходимости выработки организационных форм работы Центра, поскольку интересы у разных компаний разные. Ведь в состав его участников входят разработчики не только систем общего назначения, но и различных специализированных устройств, включая средства защиты информации, требования к которых совсем другие, чем к системам для рабочих станций или серверов.

Директор по развитию и стратегии “Беллсофт” Роман Карпов предложил помощь в выработке форм такого взаимодействия. Регламент работы часто недооценивают, но именно организационные сложности являются одной из главных проблем, которые часто приводят к провалу проектов. А сама задача обеспечения безопасности проектов с открытым кодом давно назрела.