BIS Journal №1(44)/2022

24 марта, 2022

OS DAY 2021, ROSS 2021. Путь СПО. Локомотив Open Sourсe встал на правильные рельсы?

Последний квартал прошлого 2021 года ознаменовался конструктивным оживлением в тех сферах отечественных ИТ, что намерены заняться покорением высот импортозамещения, используя продукты и технологии, предоставляемые «МетаВселенной» Open Sourсe.

Своеобразным анонсом нового этапа работ по обретению ИТ-независимости стали выступления замдиректора ФСТЭК России Виталия Лютикова и гендиректора АНО «Цифровая экономика» на BIS Summit 2021. Было заявлено, что OpenSource должен стать локомотивом разработок в отечественной ИТ-отрасли, однако локомотив этот надо переставить на отечественную колею (помня о санкциях и импортозамещении) в части поддержки процессов разработки и верификации/сертификации.

И менее чем через месяц после этого в рамках конференции OS DAY 2021 был проведён круглый стол «Безопасность ядра: единство и разнообразие» – своеобразное оргсобрание участников работ в Технологическом центре исследования безопасности ядра Linux (далее – ЦЕНТР), создаваемого под эгидой ФСТЭК России.

 

Так говорит ФСТЭК

По замыслу ФСТЭК стратегическая цель ЦЕНТРА – создание методологии исследования безопасности ядер операционных систем (в принципе любых, как создаваемых на основе OpenSource, так и проприетарных) и создание обоснованной и апробированной на практике системы сертификации безопасности ядер ОС.

При этом поэтапно будут решаться несколько тактических задач. Среди них – организация более тесного взаимодействия игроков рынка и устранение технологического параллелизма в их работе, повышение уровня компетентности компаний, ускорение работ по устранению уязвимостей выведенных на рынок дистрибутивов ОС.

В числе проблем, которые предстоит преодолеть, были названы:

  • сильная зависимость от иностранного сообщества (организационная и интеллектуальная);
  • критический недостаток ресурсов (небольшой размер отдельных отечественных компаний и общий кадровый «голод»);
  • технологическая «какофония» (использование широкого спектра версий ядра Linux, включая тупиковые ветки).

 

Диалектика осознания «технологии» OpenSource

Упомянутому круглому столу предшествовал Russia Open Source Summit (ROSS 2021), официальным поводом для проведения которого стало обсуждение проекта документа «Стратегия развития программного обеспечения с открытым кодом в России до 2024 года». Этот материал, помимо прочего, официально разрушил все ранее возникшие заблуждения относительно того явления, что переводится и как «открытое ПО», и как «свободное ПО» (СПО). При этом «Стратегия…» содержит указания на те области, направления и программы научно-технологического развития России (таковых несколько десятков), где следует учитывать её положения. В первых строках среди прочих – «Стратегия национальной безопасности Российской Федерации» и «Доктрина информационной безопасности Российской Федерации», утверждённые Указами Президента РФ.

На протяжении нескольких последних лет представители ФСТЭК России неоднократно обращали внимание на необходимость слома ситуации с пассивным восприятием тотальной технологической зависимости российских ИТ от проприетарного зарубежного системного ПО и проприетарных средств разработки приложений и, как следствие, зависимости отечественных разработчиков прикладного софта от проблем зарубежных вендоров и проблем с зарубежными вендорами.

Однако до сих пор в нашей стране так и не были сформированы авторитетные и работоспособные органы для ответственного планирования мер по преодолению упомянутой технологической зависимости и для ответственной реализации этих планов. Зато есть такой негативный опыт, как невыполненный план перехода учреждений государственной власти и федеральных бюджетных учреждений на СПО.

План был принят в Российской Федерации в конце 2010 года и не был выполнен. Не менее печально, что не были извлечены уроки из этого срыва. И можно лишь предположить, что технологической первопричиной неудачи стали ложные стереотипы восприятия Open Source («мифы СПО»), разрушение которых «Стратегией…» было столь одномоментно всеохватно, что, похоже, ещё и сегодня не до конца уложилось в головах людей, выросших и продвинувшихся по «карьерной лестнице», в том числе и благодаря ссылкам в разное время на ныне развенчанные «мифы СПО», собираемые в прошлом этими людьми в наиболее выигрышные по ситуации комбинации. И уместно заметить, что хотя бы один из мифов да и проскальзывал время от времени в статусе «true» при переводе мыслей некоторых спикеров и участников ROSS 2021 в формат речи.

 

Некоторые итоги круглого стола «Безопасность ядра: единство и разнообразие»

Зато такого рода оговорки не встречались в выступлениях участников Круглого стола «Безопасность ядра: единство и разнообразие», проведённого 14 октября 2021 года в рамках конференции OS DAY 2021. Входе обсуждения его участники, имеющие опыт нескольких десятков лет практических экзерсисов с СПО, «накидали» довольно много пожеланий к точкам пристального внимания ЦЕНТРА и направлениям его деятельности.

Было обращено внимание, в частности, на особенности, предъявляемые СЗИ-оборудованием к ядру ОС (по сравнению с требованиями вычислительной техники «общего назначения»); на необходимость увязки решения проблем безопасности ядра ОС с решением проблем безопасности библиотек; на то, что безопасная разработка тесно связана с наличием и безопасностью инструментария разработчика, который, в числе прочего, должен быть заточен под отечественные аппаратные платформы. И что называется, до кучи из зала пришли дополнения о возможностях и необходимости бороться с уязвимостями ядра не только закрытием дыр, но и с помощью архитектурных методов.

Подводя итоги обсуждения, заместитель руководителя ФСТЭК России Виталий Лютиков:

  • очертил реалистично выполнимый круг задач, которые следует решить Центру в ближайшие несколько лет («Широко шагая, можно порвать штаны!»);
  • поручил создать работоспособную экспертную группу для «образмеривания» работ Центра;
  • поручил подготовить инфраструктуру для совместной работы специалистов в рамках деятельности Центра.

 

Аэрирование тихого омута РАН

Проведение упомянутого круглого стола на OS DAY 2021 свидетельствует о начале реальных шагов по вовлечению в согласованную работы ШИРОКОГО круга ИТ-компаний, тех, что уже давно индивидуально «пасутся» на «делянке» Open Source, но чьи разрозненные знания не складываются в общую картину.

С вовлечением в совместную работу:

  • разработчиков ОС «общего назначения» на основе ядра Linux – компаний ГК Astra Linux, «Базальт СПО», Открытая мобильная платформа, «РЕД СОФТ»;
  • разработчиков СЗИ на основе ядра Linux (на круглом столе были «Код безопасности», «ИНФОТЕКС», «БеллСофт», представитель которого пообещал в ближайшем будущем интересные анонсы);
  • разработчиков аппаратных решений (в числе приглашённых на мероприятия оказались МЦСТ, АО НПЦ «ЭЛВИС»);
  • а также отечественных системообразующих сервисных ИТ-гигантов, которые были представлены на круглом столе «Яндексом»;

– возможно решение тех задач и достижение тех целей, которые сформулированы ФСТЭК РФ.

Уместно заметить, что ряд наблюдений и комментариев на круглом столе и изучение материалов СМИ указывает на то, что и до 14 октября 2021 года уже существовал некий Центр, имеющий отношение и к теме Linux, и к ИСП РАН.

Однако решить задачи, поставленные ФСТЭК, только с помощью Академии наук в нынешнем состоянии РАН невозможно.

Во-первых, потому что нынешние ИТ-научные сотрудники, изначально «заточенные» своими профессиональными деформациями на схоластику исследования «сферических коней в вакууме», не демонстрируют способностей и готовности «соскочить с подножки» идеологии непрерывных изменений в СПО и прочно обосноваться в парадигме «стабильной платформы». А без стабильной платформы невозможно говорить об управлении безопасностью критичных процессов «по требованиям».

Во-вторых, даже принятие парадигмы «стабильной платформы» само по себе не обеспечит быстрой перестройки исследовательских технологий из-за банального отсутствия у перспективного академического контингента ИСП РАН («Сегодня в Институте сложился хороший костяк – 75–80% сотрудников моложе 40 лет») опыта ведения проектов в отечественных «полях».

Такой опыт есть у приглашённого «бизнеса», вкладом которого в активы ЦЕНТРА могут стать в том числе «приоритетные конфигурации», «опыт использования тестовых наборов», «сценарии работы с парольной и другой чувствительной информацией» и т. п., а также участие специалистов компаний в состоянии «стабилизации и расширения» (все закавыченные фразы и словосочетания взяты из доклада руководителя ЦЕНТРА).

 

От культуры навыков к культуре знаний

В основе таких «мифов СПО», как бесплатность и бóльшая надёжность, – игнорирование того обстоятельства, что «кадры решают всё». Этот вопрос в фоновом режиме был упомянут и на круглом столе 14 октября, а среди положительных итогов Russia Open Source Summit 2021 уместно отметить отпор сомнительной попытке поиска в методологии Open Source поддержки новомодного представления о так называемой свободной траектории образования (ответственность за выбор которой предлагается возложить на студента), отпор попытки проставления знака равенства между идеей «свободной траектории образования» и «системой Физтеха».

Коротко и со знанием ситуации была дана оценка идее «свободной траектории образования» профессором ИТМО Анатолием Шалыто («студент, дай бог, лишь к концу вузовского обучения начинает осознанно подходить к выбору своего места в профессии»). При подведении итогов заседания секции «Развитие культуры Open Source разработки в университетах» представитель ИТМО не обошёл стороной и попытки искажения сути «системы Физтеха». Рождённый в годы, когда «физика стала родом войск», этот вуз как никакой другой знал, по какой именно образовательной траектории должны идти его питомцы, и добивался этого, загружая студентов по полной.

Одним из троянских коней проталкивания в высшую школу идеологии так называемой свободной траектории образования является парадигма «программирования», согласно которой«…хороший компьютер стоит всего тысячу долларов. И вот: сотня кнопок на клавиатуре – и пожалуйста: хочешь написать программу лучше, чем Microsoft или даже 1С, – пробуй!»

Иную точку зрения представил гость из Греции Диомидис Д. Спинеллис. Во главу инженерии программирования этот «греческий информатик» поставил знание предметной области, в которой ПО будет работать. По его мнению, основанному на богатой практике, на этом фундаменте открытая модель разработки позволяет правильно выбрать и быстро освоить инструментарий для программирования и тестирования приложений.

Уместно при этом вспомнить опыт системы образования в СССР, когда наряду с некоторым количеством экономистов общего профиля, подготавливаемых в университетах, существовала широкая система подготовки экономистов-отраслевиков на факультетах экономики в технических вузах, способных смолоду погрузить их в отраслевую специфику.

В новой России ситуацию поставили с ног на голову, призывая смолоду погружать инженеров и учёных в специфику бизнеса, основанного на примате принципов time to market и do it faster.

Возможно, для восстановления здравого смысла в ИТ-образовании (будем для определённости говорить только о нём) имеет смысл создать образовательный аналог ФСТЭК и ему поручить, например, возродить культуру получения знаний в системе отечественного образования. Может быть, профессор Шалыто согласится возглавить такой «ФСТЭК для образования» и сформирует на базе, например, ИТМО соответствующий Центр возрождения ИТ-образования?

 

Между Сциллой интеллектуальной щедрости и Харибдой интеллектуальной собственности

Нельзя не согласиться с рамочным утверждением проекта «Стратегии…» о том, что «распространению открытого ПО в России препятствует ряд проблем», но вряд ли к ним уместно относить «незнание юридических аспектов использования открытого ПО». ROSS 2021 показал, что немало представителей российского ИТ-сообщества ещё и дадут сто очков форы большинству юристов, специализирующихся в сфере защиты прав на продукты Open Source. При этом нельзя не упомянуть комментарий одного из спикеров дискуссии «о формировании инфраструктуры для открытого кода» о том, что лучшими юристами в этой сфере являются выпускники Физтеха.

Тем не менее невозможно отрицать, что юридические аспекты правовой защиты продукции на основе Open Source способны создать изрядную головную боль.

Один из таких аспектов – совместимость или несовместимость лицензий, «грибницей» которых опутан нынешний мир зарубежного пространства Open Source (см. рисунок). Подобная ситуация в условиях критичности для разработчиков параметров time to market и do it faster приводит к тому, что «юридические аспекты использования открытого ПО» нередко просто игнорируются.

Совместимость open-source-лицензий

 

Ситуация не безвыходная, и тут «есть два пути».

Первый – использование специализированных продуктов экосистемы инструментария DevSecOps для проверки совместимости лицензий.

Второй – совершенствование правовой базы использования Open Source.

По мнению ряда юристов (а согласно общему правилу, у двух юристов всегда существует три мнения), пока «в России нет чёткого понимания в области правовой регуляторики Open Source» и «в рамках действующих объектов интеллектуальной собственности Open Source не относится ни к одному из объектов».

При этом в жесточайшем кризисе находится не только мировая экономика, но и законодательство (международное и национальные) в сфере защиты так называемой интеллектуальной собственности. В связи с этим возможны и нестандартные решения, подобные недавно принятому закону о возможности выпуска в экстренных ситуациях лекарственных препаратов без получения согласия правообладателя. Хотя оптимальным решением стала бы разработка законодательства на новых принципах, убирающего препоны ныне действующих законов о защите интеллектуальных прав на пути развития техники и технологий, культуры и экономики. Но где тот Анатолий Шалыто от юриспруденции, что мог бы возглавить процесс?

 

От технологического центра исследования безопасности ядра Linux к Центру технологий безопасного программирования?

В 2021 году тема «безопасного программирования» неофициально стала одной из сквозных на конференции BISS 2021 и поднималась прямым текстом на обеих панельных дискуссиях, а её следы (или уши) можно было обнаружить в ряде докладов на практических секциях.

И хотя эксперты «панелей» BISS 2021 напирали на экономическую неэффективность внедрения «безопасного программирования», заместитель руководителя ФСТЭК дал твёрдый отпор фракции «экономистов» и набросал «эскиз» маршрутной карты инициатив и действий регулятора для поддержки «инжиниринга» «безопасного программирования».

Ждём круглого стола?

 

Мифы СПО

1) Мнимая бесплатность. В реальности отсутствие лицензионных отчислений не означает бесплатности, а расходы на техническую поддержку, затраты на адаптацию и эксплуатацию ПО, переобучение персонала могут оказаться сравнимыми со стоимостью лицензии проприетарного аналога.

2) Мнимая «ничейность». В действительности у открытого ПО есть авторы и правообладатели, права которых определены в лицензиях и защищены соответствующими законами. Их нарушение также неоправдываемо и наказуемо, как нарушение лицензий на проприетарное ПО.

3) Мнимая бóльшая безопасность. Открытость кода облегчает поиск уязвимостей как для защищающейся, так и для атакующей стороны. При большом объёме и сложности кода поиск уязвимостей очень затруднён и существует возможность злонамеренного внесения уязвимостей в продукт.

4) Мнимая гибкость. Возможность комбинировать различные открытые компоненты для получения комплексных решений существует, но требует высокой компетенции ИТ-специалистов и зачастую повторения ими работы друг друга вместо приобретения готовой системы у производителя/поставщика.

5) Мнимая бóльшая надёжность. Надёжность ПО не зависит от его открытости. Использование открытого кода требует технической поддержки не в меньшей степени, чем для проприетарных продуктов. Поскольку техническая поддержка подразумевает оперативное исправление ошибок, она требует компетенций разработчика данного продукта. Самостоятельная поддержка ПО пользователями в общем случае невозможна, а поддержка сообществ лишена каких-либо обязательств.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

11.10.2024
Очередная медицинская организация США стала объектом интереса хакеров
11.10.2024
Рыбалка вредит морякам. Морской SOC выявил главные угрозы для судоходства
11.10.2024
Регулятор обязал банкиров ускориться
11.10.2024
Краснов: Работа ведомственных антихак-подразделений должным образом не ведётся
11.10.2024
Минцифры отпустило идею создания национального репозитория
10.10.2024
ЦСР: К 2028 году объём российского рынка ИБ достигнет 715 млрд рублей
10.10.2024
22 октября в Москве пройдёт V Конференция по информационной безопасности ПрофИБ
10.10.2024
Это уже слишком. Теперь весь интернет знает, что вы едите «Огненное Воппер Комбо на двоих» в одиночку
10.10.2024
Эксперты UserGate обнаружили критическую уязвимость в Zangi
10.10.2024
«Вне зависимости от мотивации преступников успешная атака на крупный бизнес выглядит привлекательнее всего»

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных