В рамках прошлогодней конференции OS DAY 2021 был проведён Круглый стол, официально заявленной целью которого была подготовка к запуску работы Технологического Центра исследования безопасности ядра Linux. А менее чем через год, на OS DAY 2022, был организован Круглый стол, в названии которого хоть и не было ни слова об упомянутом Центре, но оно позволяло надеяться на получение информации о первых успехах структуры, созданной под эгидой ФСТЭК России. Да и не только этой информации. Ведь формулировка темы Круглого стола 2022 года – «Доверенное отечественное ПО: риски сегодняшнего дня и модели устойчивого развития».
До комментария Валерия Егорова из «Криптософт» дискуссия о развитии отечественного доверенного ПО на конференции OS Day 2022 шла в размеренном ключе.
Сначала гостеприимное, доверительное, ободряющее, товарищеское и нацеливающее на плодотворную работу вступительное слово А. И. Аветисяна, академика, директора Института системного программирования Российской академии наук (далее – академик и ИСП РАН), чьи научные интересы уже десятки лет связаны с темой конференции.
Далее выступление регулятора, упомянувшего о состоявшемся 10 лет тому назад понимании бесперспективности защиты от угроз использования «недоверенных» программных продуктов «доверенными», но «наложенными» отечественными средствами, и упомянул о таки случившемся в прошлом году «первом шаге» к уходу от этой нетерпимой практики – о создании Технологического центра исследования безопасности ядра Linux в ИСП РАН, о разработке в этом году проектов требований по безопасности к технологиям и средствам «контейнеризации» и требований по безопасности к средствам виртуализации.
И комментарий академика по следам задающего векторА (вЕкторы?) работы выступления регулятора. В этом комментарии особенно запомнились слова о том, что предложенные регулятором направления развития – «это наши перспективы на десятки лет вперёд», что это – долгосрочные перспективы. При этом академик отметил особую символичность этой стабильности в работе в преддверии грядущего 300-летнего юбилея Академии. «Это будет вся наша жизнь», – не без энтузиазма заявил академик.
Последующее выступление представителя Минцифры было онлайновым и несколько суховатым.
Не отвергая озвученные предыдущими докладчиками подходы к созданию российского «доверенного» ПО и перспективы этого пути, представитель министерства обратил внимание аудитории на необходимость создания привлекательного имиджа развиваемых инициатив, попенял отечественным компаниям на недостаточный энтузиазм в деле выкладывания собственного «софта» на всеобщее обозрение, обратил внимание на то, что работая в рамках СПО-проектов наши разработчики развивают, по большей части, зарубежное ПО.
В целом это выступление Минцифры заставило вспомнить известные слова из фильма «Небесный тихоход» о том, что «мне сверху видно всё! Ты так и знай!». Но никакого открытого негатива, как, впрочем, и слов поддержки, в выступлении Минцифры не прозвучало.
Не прозвучало в явном виде слов поддержки в пользу идеи российского СПО и в выступлении Алексея Новодворского, заместителя генерального директора ООО «Базальт СПО», представленного академиком как единого эксперта от науки и бизнеса. Впрочем, от подробностей относительно научных компетенций комментатора академик воздержался, что же касается бизнес-компетенций, то путь от советских «научных кооперативов» и до создания 2-х частных компаний с 2000-го года говорит сам за себя.
Г-н Новодворский отметил «вешками» сомнений ряд «отмелей» в русле работ по отечественному СПО – от тонкостей юридической защищённости внешне как бы общеоткрытых мировых залежей СПО и до возведённого г-ном Новодворским в абсолют требования к глобальной международности любого приличного проекта СПО.
«Мы не из последних, но и не из первых», – снисходительно присовокупил этот эксперт к своему комментарию об обязательной международности СПО. И тут уместно обратить внимание на некоторую провинциальность мышления многих представителей отечественной науки и бизнеса. Особенно, если начало профессионального пути не поддержано авторитетным советским образованием и местом работы.
Из выступления г-на Новодворского также могло сложиться впечатление, что главный «цимес» от участия в проектах СПО – это возможность для программиста создать себе «имя», после чего могут воспоследовать деньги и карьерный рост. От комментариев про пользу и выгоды для государства от реализации СПО-проектов вообще и обсуждаемой на Круглом столе инициативы в частности эксперт воздержался.
Комментируя выступление г-на Новодворского, академик посетовал, что у нас нет места, где можно было бы получить квалифицированную помощь по теме правового обеспечения СПО-проектов, но сразу отмежевался от самой мысли об участии в решении юридических вопросов. Что не удивительно, учитывая большую загрузку учёного, который помимо руководства институтом ещё и руководит совместной с Samsung лабораторией ИСП РАН и исследовательским центром NVIDIA в ИСП РАН, а также является профессором факультета управления и прикладной математики МФТИ (по данным на сайте конференции OS Day 2022).
Академик также обратил внимание аудитории на то, что сегодня государство в лице регулятора и Академия в лице ИСП РАН весьма толерантны по части вопросов открытости проектов по разработке ПО. А вот бизнес консервативно демонстрирует примеры закрытости.
Этот комментарий академика об «открытости» вспомнился позже, в ходе сессии вопросов, когда учёный рассказал о причинах, по которым ИСП РАН в его лице и в лице его коллег не открывает код своего инструментария для анализа ПО. Как оказалось, академик высоко оценивает риски создания неподконтрольного ему и ИСП РАН зарубежного «форка», контролируемого какой-либо иностранной компанией. Неизбежно вспомнился бессмертный диалог Остапа Бендера с предводителем дворянства и слова из него «с вашим делом я могу справиться и сам».
Выступление начальника Технологического Центра исследования безопасности ядра Linux можно считать классикой отчётно-перевыборного доклада. Умеренные, но достойные успехи, демонстрация вовлечённости отечественных компаний в проект и связей с международным сообществом, анонс планов продолжения работ, очевидная польза будущей методологии для анализа защищённости и безопасности любых программных проектов, вовлечение и обучение молодых специалистов. «Быть добру!».
На высокой ноте выступления г-на Хорошилова академик предложил выступить экспертам, которых расположили у столика перед столом Президиума.
И уже первое выступление представителя «Астрософт» слегка «взъерошило» благостную атмосферу будущего глобального международного сотрудничества и открытости. Аудитории напомнили о том, что американские проекты «на основе СПО», ориентированные на работу с гостайной, традиционно являются закрытыми. И дополнили эту информацию упоминанием о недавно появившемся отчёте Linux Foundation, в котором уверенность сообщества в безопасности кода СПО называется наивной.
Комментируя эти «реплики» от «Астрософт» академик высказал некую утопическую идею о возможности закрыть условный «проект СПО» для внешнего контура и оставить его открытость для «внутреннего» круга компаний, заинтересованных в его развитии. Ведь, как утверждал академик, ссылаясь на своё общение в т. ч. и с китайцами, «тащить свою ОС невозможно» хотя бы по причине кадровых проблем. И «даже американцы» (!) не смогут выдержать подобное бремя.
К сожалению «за кадром» такого рода рассуждений остался вопрос о сохранении реальной конфиденциальности (а не архива NDAев) внутри контура компаний, не имеющих в современных условиях представлений о работе «первых отделов» и желания наладить такую работу, компаний, кадры из которых легко уходят «на сторону».
Что же касается невозможности «тащить свою ОС», то это, как показывает мировой опыт, связано, скорее, с проблемами конкуренции бизнесов и некомпетентностью их управленческого персонала, а не с компетентностью персонала разработчиков ряда технологически успешных компаний.
Оторваться от осмысления причин множества недомолвок, недоговорённостей, лукавых тезисов, которые можно было легко обнаружить в комментариях академика и докладчиков из Президиума, заставил комментарий Валерия Егорова из компании «Криптософт», задавшего коллегам уточняющий вопрос о том, какой ныне год?
2021-й или 2022-й?
И т.к., похоже, что представитель «Криптософт» уже знал ответ на этот вопрос, то он продолжил свою речь утверждением о том, что у сообщества, которое до сих пор консолидировалось вокруг идеи СПО, нет уверенности в завтрашнем дне. И отечественным разработчикам «доверенного софта» надо максимально консолидировать СВОИ усилия.
И хотя академик довольно легко отбил эту атаку в стиле второго секретаря уездного райкома комсомола («Критикуешь – предлагай, предложил – делай!»), по дискуссии пошла волна. Ведь Валерий Егоров предложил. «Нужен «крайний» по каждой строке кода!». И это уже был не лозунг, а слова действующего и успешного разработчика проприетарного ПО, востребованного государством.
И «Криптософт» был в определённой степени поддержан компанией «Инфотекс», представитель которой высказал убеждённость в том, что (дальнейший текст не есть прямая речь представителя «Инфотекс») СПО – это не «золотой ключик» в новый дивный мир быстрых и безопасных разработок, а лишь объект для оценки его безопасности и наличия системы поддержки. Если этого нет – код следует разрабатывать самостоятельно.
В защиту «неизбежности» СПО попытался выступить глава «Руссофт», ссылаясь на авторитет некоего «Комитета по импортозамещению». Последний утверждает, по словам Валентина Макарова, что мы не сможем заместить всё проприетарное ПО, что делает неизбежным «вальсирование» отечественных разработчиков в «объятиях» СПО.
Сомнительность и лукавство ссылки на «Комитет по импортозамещению» следует, во-первых, из того, что авторитетность и достоверность данных «Комитета…» никем не доказана; во-вторых, неясно, какое «всё проприетарное ПО» мы должны заместить (наверное, следует различать критически важное доверенное ПО и ПО, которому просто хотелось бы по-человечески доверять); а в третьих см. выше мнение «Инфотекс», ведь оценка безопасности СПО и создание его системы поддержки после 24 февраля – это фактически равно самостоятельной разработке.
Дальнейшее изложение хода дискуссии в хронологическом порядке не имеет смысла.
Наиболее важными из последующих событий является следующие обстоятельства.
Молодые квалифицированные состоявшиеся разработчики уже поняли (а академик «знает об этом уже 30 лет»), что «единственным не мифом» об основном массиве критически важного СПО сегодня являются его американоцентричность и принадлежность (контроль) под тем или иным «соусом» крупным иностранным корпорациям. Сюда можно добавить мнение г-на Новодворского о том, что для ряда программистов участие в работе сообщества СПО – это аналог публикаций учёного в рецензируемых журналах.
Все эти обстоятельства важны для правильной оценки угроз при использовании проектов СПО для разработки ПО и для правильной оценки угроз вхождения в проекты по СПО.
Ещё один важный аспект субъектности СПО – это, с одной стороны, растущее вместе с объёмом и сложностью законодательства об интеллектуальной собственности количество правовых угроз его использования, а с другой стороны – параллельный рост путей обхода некоторых юридических запретов на его использование, а тем более – отсутствие запретов на его изучение.
И не менее важным является то, что упомянутые обстоятельства могут заиграть новыми красками и/или измениться в не слишком далёком будущем как вследствие экономических и политических событий, так и вследствие изменений в технологических парадигмах ИКТ.
Всё это понимается (хотя и не афишируется в полном объёме) экспертами Круглого стола, но пока не сформирован пул тех компаний, который будет осознанно отвечать за доверенность каждой строчки кода (и которым государство будет помогать нести эту ответственность), работа будет идти, похоже, ни шатко, ни валко.
В названии Круглого стола присутствовали слова «риски сегодняшнего дня и модели устойчивого развития». Но на Круглом столе модератор системно прерывал выступления тех, кто пытался описать эти самые риски и недостатки той модели, которая предлагается сообществу на основе устаревших представлений об СПО.
«Письмо мы в ближайшее обозримое время подготовим и разошлём». Этими словами начальника Технологического Центра исследования безопасности ядра Linux можно проиллюстрировать стиль и темперамент общения с сообществом.
.jpg)
- Стоимость медиауслуг (открыть PDF) -
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
(1).png)