Последний квартал прошлого 2021 года ознаменовался конструктивным оживлением в тех сферах отечественных ИТ, что намерены заняться покорением высот импортозамещения, используя продукты и технологии, предоставляемые «МетаВселенной» Open Sourсe.
Своеобразным анонсом нового этапа работ по обретению ИТ-независимости стали выступления замдиректора ФСТЭК России Виталия Лютикова и гендиректора АНО «Цифровая экономика» на BIS Summit 2021. Было заявлено, что OpenSource должен стать локомотивом разработок в отечественной ИТ-отрасли, однако локомотив этот надо переставить на отечественную колею (помня о санкциях и импортозамещении) в части поддержки процессов разработки и верификации/сертификации.
И менее чем через месяц после этого в рамках конференции OS DAY 2021 был проведён круглый стол «Безопасность ядра: единство и разнообразие» – своеобразное оргсобрание участников работ в Технологическом центре исследования безопасности ядра Linux (далее – ЦЕНТР), создаваемого под эгидой ФСТЭК России.
Так говорит ФСТЭК
По замыслу ФСТЭК стратегическая цель ЦЕНТРА – создание методологии исследования безопасности ядер операционных систем (в принципе любых, как создаваемых на основе OpenSource, так и проприетарных) и создание обоснованной и апробированной на практике системы сертификации безопасности ядер ОС.
При этом поэтапно будут решаться несколько тактических задач. Среди них – организация более тесного взаимодействия игроков рынка и устранение технологического параллелизма в их работе, повышение уровня компетентности компаний, ускорение работ по устранению уязвимостей выведенных на рынок дистрибутивов ОС.
В числе проблем, которые предстоит преодолеть, были названы:
Диалектика осознания «технологии» OpenSource
Упомянутому круглому столу предшествовал Russia Open Source Summit (ROSS 2021), официальным поводом для проведения которого стало обсуждение проекта документа «Стратегия развития программного обеспечения с открытым кодом в России до 2024 года». Этот материал, помимо прочего, официально разрушил все ранее возникшие заблуждения относительно того явления, что переводится и как «открытое ПО», и как «свободное ПО» (СПО). При этом «Стратегия…» содержит указания на те области, направления и программы научно-технологического развития России (таковых несколько десятков), где следует учитывать её положения. В первых строках среди прочих – «Стратегия национальной безопасности Российской Федерации» и «Доктрина информационной безопасности Российской Федерации», утверждённые Указами Президента РФ.
На протяжении нескольких последних лет представители ФСТЭК России неоднократно обращали внимание на необходимость слома ситуации с пассивным восприятием тотальной технологической зависимости российских ИТ от проприетарного зарубежного системного ПО и проприетарных средств разработки приложений и, как следствие, зависимости отечественных разработчиков прикладного софта от проблем зарубежных вендоров и проблем с зарубежными вендорами.
Однако до сих пор в нашей стране так и не были сформированы авторитетные и работоспособные органы для ответственного планирования мер по преодолению упомянутой технологической зависимости и для ответственной реализации этих планов. Зато есть такой негативный опыт, как невыполненный план перехода учреждений государственной власти и федеральных бюджетных учреждений на СПО.
План был принят в Российской Федерации в конце 2010 года и не был выполнен. Не менее печально, что не были извлечены уроки из этого срыва. И можно лишь предположить, что технологической первопричиной неудачи стали ложные стереотипы восприятия Open Source («мифы СПО»), разрушение которых «Стратегией…» было столь одномоментно всеохватно, что, похоже, ещё и сегодня не до конца уложилось в головах людей, выросших и продвинувшихся по «карьерной лестнице», в том числе и благодаря ссылкам в разное время на ныне развенчанные «мифы СПО», собираемые в прошлом этими людьми в наиболее выигрышные по ситуации комбинации. И уместно заметить, что хотя бы один из мифов да и проскальзывал время от времени в статусе «true» при переводе мыслей некоторых спикеров и участников ROSS 2021 в формат речи.
Некоторые итоги круглого стола «Безопасность ядра: единство и разнообразие»
Зато такого рода оговорки не встречались в выступлениях участников Круглого стола «Безопасность ядра: единство и разнообразие», проведённого 14 октября 2021 года в рамках конференции OS DAY 2021. Входе обсуждения его участники, имеющие опыт нескольких десятков лет практических экзерсисов с СПО, «накидали» довольно много пожеланий к точкам пристального внимания ЦЕНТРА и направлениям его деятельности.
Было обращено внимание, в частности, на особенности, предъявляемые СЗИ-оборудованием к ядру ОС (по сравнению с требованиями вычислительной техники «общего назначения»); на необходимость увязки решения проблем безопасности ядра ОС с решением проблем безопасности библиотек; на то, что безопасная разработка тесно связана с наличием и безопасностью инструментария разработчика, который, в числе прочего, должен быть заточен под отечественные аппаратные платформы. И что называется, до кучи из зала пришли дополнения о возможностях и необходимости бороться с уязвимостями ядра не только закрытием дыр, но и с помощью архитектурных методов.
Подводя итоги обсуждения, заместитель руководителя ФСТЭК России Виталий Лютиков:
Аэрирование тихого омута РАН
Проведение упомянутого круглого стола на OS DAY 2021 свидетельствует о начале реальных шагов по вовлечению в согласованную работы ШИРОКОГО круга ИТ-компаний, тех, что уже давно индивидуально «пасутся» на «делянке» Open Source, но чьи разрозненные знания не складываются в общую картину.
С вовлечением в совместную работу:
– возможно решение тех задач и достижение тех целей, которые сформулированы ФСТЭК РФ.
Уместно заметить, что ряд наблюдений и комментариев на круглом столе и изучение материалов СМИ указывает на то, что и до 14 октября 2021 года уже существовал некий Центр, имеющий отношение и к теме Linux, и к ИСП РАН.
Однако решить задачи, поставленные ФСТЭК, только с помощью Академии наук в нынешнем состоянии РАН невозможно.
Во-первых, потому что нынешние ИТ-научные сотрудники, изначально «заточенные» своими профессиональными деформациями на схоластику исследования «сферических коней в вакууме», не демонстрируют способностей и готовности «соскочить с подножки» идеологии непрерывных изменений в СПО и прочно обосноваться в парадигме «стабильной платформы». А без стабильной платформы невозможно говорить об управлении безопасностью критичных процессов «по требованиям».
Во-вторых, даже принятие парадигмы «стабильной платформы» само по себе не обеспечит быстрой перестройки исследовательских технологий из-за банального отсутствия у перспективного академического контингента ИСП РАН («Сегодня в Институте сложился хороший костяк – 75–80% сотрудников моложе 40 лет») опыта ведения проектов в отечественных «полях».
Такой опыт есть у приглашённого «бизнеса», вкладом которого в активы ЦЕНТРА могут стать в том числе «приоритетные конфигурации», «опыт использования тестовых наборов», «сценарии работы с парольной и другой чувствительной информацией» и т. п., а также участие специалистов компаний в состоянии «стабилизации и расширения» (все закавыченные фразы и словосочетания взяты из доклада руководителя ЦЕНТРА).
От культуры навыков к культуре знаний
В основе таких «мифов СПО», как бесплатность и бóльшая надёжность, – игнорирование того обстоятельства, что «кадры решают всё». Этот вопрос в фоновом режиме был упомянут и на круглом столе 14 октября, а среди положительных итогов Russia Open Source Summit 2021 уместно отметить отпор сомнительной попытке поиска в методологии Open Source поддержки новомодного представления о так называемой свободной траектории образования (ответственность за выбор которой предлагается возложить на студента), отпор попытки проставления знака равенства между идеей «свободной траектории образования» и «системой Физтеха».
Коротко и со знанием ситуации была дана оценка идее «свободной траектории образования» профессором ИТМО Анатолием Шалыто («студент, дай бог, лишь к концу вузовского обучения начинает осознанно подходить к выбору своего места в профессии»). При подведении итогов заседания секции «Развитие культуры Open Source разработки в университетах» представитель ИТМО не обошёл стороной и попытки искажения сути «системы Физтеха». Рождённый в годы, когда «физика стала родом войск», этот вуз как никакой другой знал, по какой именно образовательной траектории должны идти его питомцы, и добивался этого, загружая студентов по полной.
Одним из троянских коней проталкивания в высшую школу идеологии так называемой свободной траектории образования является парадигма «программирования», согласно которой«…хороший компьютер стоит всего тысячу долларов. И вот: сотня кнопок на клавиатуре – и пожалуйста: хочешь написать программу лучше, чем Microsoft или даже 1С, – пробуй!»
Иную точку зрения представил гость из Греции Диомидис Д. Спинеллис. Во главу инженерии программирования этот «греческий информатик» поставил знание предметной области, в которой ПО будет работать. По его мнению, основанному на богатой практике, на этом фундаменте открытая модель разработки позволяет правильно выбрать и быстро освоить инструментарий для программирования и тестирования приложений.
Уместно при этом вспомнить опыт системы образования в СССР, когда наряду с некоторым количеством экономистов общего профиля, подготавливаемых в университетах, существовала широкая система подготовки экономистов-отраслевиков на факультетах экономики в технических вузах, способных смолоду погрузить их в отраслевую специфику.
В новой России ситуацию поставили с ног на голову, призывая смолоду погружать инженеров и учёных в специфику бизнеса, основанного на примате принципов time to market и do it faster.
Возможно, для восстановления здравого смысла в ИТ-образовании (будем для определённости говорить только о нём) имеет смысл создать образовательный аналог ФСТЭК и ему поручить, например, возродить культуру получения знаний в системе отечественного образования. Может быть, профессор Шалыто согласится возглавить такой «ФСТЭК для образования» и сформирует на базе, например, ИТМО соответствующий Центр возрождения ИТ-образования?
Между Сциллой интеллектуальной щедрости и Харибдой интеллектуальной собственности
Нельзя не согласиться с рамочным утверждением проекта «Стратегии…» о том, что «распространению открытого ПО в России препятствует ряд проблем», но вряд ли к ним уместно относить «незнание юридических аспектов использования открытого ПО». ROSS 2021 показал, что немало представителей российского ИТ-сообщества ещё и дадут сто очков форы большинству юристов, специализирующихся в сфере защиты прав на продукты Open Source. При этом нельзя не упомянуть комментарий одного из спикеров дискуссии «о формировании инфраструктуры для открытого кода» о том, что лучшими юристами в этой сфере являются выпускники Физтеха.
Тем не менее невозможно отрицать, что юридические аспекты правовой защиты продукции на основе Open Source способны создать изрядную головную боль.
Один из таких аспектов – совместимость или несовместимость лицензий, «грибницей» которых опутан нынешний мир зарубежного пространства Open Source (см. рисунок). Подобная ситуация в условиях критичности для разработчиков параметров time to market и do it faster приводит к тому, что «юридические аспекты использования открытого ПО» нередко просто игнорируются.
Совместимость open-source-лицензий
Ситуация не безвыходная, и тут «есть два пути».
Первый – использование специализированных продуктов экосистемы инструментария DevSecOps для проверки совместимости лицензий.
Второй – совершенствование правовой базы использования Open Source.
По мнению ряда юристов (а согласно общему правилу, у двух юристов всегда существует три мнения), пока «в России нет чёткого понимания в области правовой регуляторики Open Source» и «в рамках действующих объектов интеллектуальной собственности Open Source не относится ни к одному из объектов».
При этом в жесточайшем кризисе находится не только мировая экономика, но и законодательство (международное и национальные) в сфере защиты так называемой интеллектуальной собственности. В связи с этим возможны и нестандартные решения, подобные недавно принятому закону о возможности выпуска в экстренных ситуациях лекарственных препаратов без получения согласия правообладателя. Хотя оптимальным решением стала бы разработка законодательства на новых принципах, убирающего препоны ныне действующих законов о защите интеллектуальных прав на пути развития техники и технологий, культуры и экономики. Но где тот Анатолий Шалыто от юриспруденции, что мог бы возглавить процесс?
От технологического центра исследования безопасности ядра Linux к Центру технологий безопасного программирования?
В 2021 году тема «безопасного программирования» неофициально стала одной из сквозных на конференции BISS 2021 и поднималась прямым текстом на обеих панельных дискуссиях, а её следы (или уши) можно было обнаружить в ряде докладов на практических секциях.
И хотя эксперты «панелей» BISS 2021 напирали на экономическую неэффективность внедрения «безопасного программирования», заместитель руководителя ФСТЭК дал твёрдый отпор фракции «экономистов» и набросал «эскиз» маршрутной карты инициатив и действий регулятора для поддержки «инжиниринга» «безопасного программирования».
Ждём круглого стола?
Мифы СПО
1) Мнимая бесплатность. В реальности отсутствие лицензионных отчислений не означает бесплатности, а расходы на техническую поддержку, затраты на адаптацию и эксплуатацию ПО, переобучение персонала могут оказаться сравнимыми со стоимостью лицензии проприетарного аналога.
2) Мнимая «ничейность». В действительности у открытого ПО есть авторы и правообладатели, права которых определены в лицензиях и защищены соответствующими законами. Их нарушение также неоправдываемо и наказуемо, как нарушение лицензий на проприетарное ПО.
3) Мнимая бóльшая безопасность. Открытость кода облегчает поиск уязвимостей как для защищающейся, так и для атакующей стороны. При большом объёме и сложности кода поиск уязвимостей очень затруднён и существует возможность злонамеренного внесения уязвимостей в продукт.
4) Мнимая гибкость. Возможность комбинировать различные открытые компоненты для получения комплексных решений существует, но требует высокой компетенции ИТ-специалистов и зачастую повторения ими работы друг друга вместо приобретения готовой системы у производителя/поставщика.
5) Мнимая бóльшая надёжность. Надёжность ПО не зависит от его открытости. Использование открытого кода требует технической поддержки не в меньшей степени, чем для проприетарных продуктов. Поскольку техническая поддержка подразумевает оперативное исправление ошибок, она требует компетенций разработчика данного продукта. Самостоятельная поддержка ПО пользователями в общем случае невозможна, а поддержка сообществ лишена каких-либо обязательств.
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных