На конференции OS DAY 2022 обсудили безопасность операционных систем

Международная научно-практическая конференция OS DAY 2022, состоявшаяся этим летом в главном здании РАН в Москве, собрала очно и онлайн более 2000 участников — разработчиков, создателей российских операционных систем, сотрудников научных институтов и коммерческих компаний. В ней приняли участие представители ФСТЭК России, Минцифры России и других ведомств, заказчики операционных систем. «Базальт СПО» проводит эту конференцию совместно с ИСП РАН, «Лабораторией Касперского», ГК DZ Systems, НТП «Криптософт», «Открытой мобильной платформой», НИЦ «Институт имени Н.Е. Жуковского» и другими российскими создателями системного ПО.

Главной темой OS DAY в этом году стало обеспечение информационной безопасности отечественных операционных систем, участники обсудили обеспечение процессов надежной разработки системного ПО, новые механизмы безопасности внутри ОС, их сопровождение, жизненный цикл обновлений, потенциал развития отечественного софта, касались таких тем, как кадровые проблемы отрасли и внедрение принципиально нового программного обеспечения.

Ярким событием конференции стал круглый стол «Доверенное отечественное ПО: риски сегодняшнего дня и модели долгосрочного устойчивого развития». «Безопасность операционных систем — сложная тема, — отметил, начиная дискуссию, Арутюн Аветисян, директор ИСП РАН. — Но мы продолжаем создавать новые технологии и развивать существующие, стремиться к технологическому суверенитету. Наиболее значимые шаги в этом направлении — запуск Технологического центра исследования безопасности ядра Linux под эгидой ФСТЭК России и создание по близкой схеме инфраструктуры для систематического исследования безопасности критичных компонентов». В рамках этих проектов происходит объединение усилий отечественных разработчиков по обеспечению безопасности наиболее востребованных компонентов свободного программного обеспечения. Развиваются методики исследования безопасности, изучаются потенциальные угрозы, выявленные с помощью статического анализа и фаззинг-тестирования, готовятся исправления — иными словами, происходит систематизация работ.

Как отметил Дмитрий Шевцов, начальник управления ФСТЭК России, отечественные операционные системы постепенно перестраиваются для работы с программным обеспечением, рекомендованным Технологическим центром. «Основное направление нашей деятельности в обеспечении защиты информации — это применение сертифицированных доверенных технологий, сертифицированных операционных систем, средств виртуализации, средств контейнеризации, сертифицированных систем управления базами данных, — подчеркнул он в выступлении на круглом столе. — Мы уходим от применения «наложенных» средств защиты и движемся в направлении разработки собственных технологий, на которые можно уверенно полагаться, используя их в критической инфраструктуре Российской Федерации».

Ведущий научный сотрудник ИСП РАН Алексей Хорошилов в своем выступлении подвел первые итоги работы Технологического центра — сформированы процессы сопровождения ветки ядра Linux версии 5.10, рекомендуемой для использования при конструировании отечественных операционных систем. Создана экспертная группа, состоящая из представителей 14 компаний, в рамках которой формируются принципы функционирования Технологического центра и отрабатывается применение разработанных методик исследования безопасности ядра. В ходе этих работ уже удалось выявить несколько десятков ошибок, исправления для которых были отправлены в международное сообщество разработчиков и включены последними в основную ветку ядра.

Значительная часть круглого стола была посвящена обсуждению задач развития свободного ПО в России. «Вопросы, связанные с использованием свободного программного обеспечения, прорабатываются Минцифры с учетом событий последних месяцев, — заявил Евгений Хасин, заместитель директора Департамента обеспечения кибербезопасности Минцифры России. — В первую очередь, речь идет о проработке стратегии по созданию отечественного репозитория свободного программного обеспечения. Мы должны обеспечивать доступность ПО, привлечение к работе на этой площадке отечественных специалистов. Они должны принимать активное участие в разработке и развитии свободного программного обеспечения на российских площадках. Вопрос только в том, насколько отечественные компании готовы выкладывать свой код в свободный доступ, чтобы в дальнейшем наши молодые специалисты учились на их опыте, развивали и внедряли собственные продукты. Нужно понять, чего не хватает отечественным компаниям для того, чтобы они выкладывали в отечественный репозиторий свой софт. Это необходимо для формирования отечественного сообщества».

Алексей Новодворский, советник генерального директора «Базальт СПО», отметил, что создание отечественного репозитория — не первостепенно важная задача, потому что ныне существующие общедоступные репозитории кода типа GitHub или Gitlab свою функцию выполняют исправно, а гарантировать безопасность кода они попросту не должны, так как обеспечение проверки безопасности кода лежит на вендорах продуктов, использующих этот код. И одно из важнейших преимуществ свободного софта состоит в том, что крупные СПО-проекты не могут нормально развиваться в отдельной стране, они требуют общих усилий. «Наша задача вместе со всеми идти вперед, и делать это быстро», — сказал А.Новодворский. Впрочем, по его словам, сейчас на вопросы безопасности стоит обращать особое внимание. В частности, на то, что сегодня «существует заметное количество важных компонентов, правообладателями которых являются крупные корпорации, преследующие свои интересы и ведущие собственную политику. Раньше мы в этом ничего плохого не видели, но теперь этот факт приходится учитывать. Мир изменился».

Тезис о том, что мир изменился, звучал на OS DAY 2022 неоднократно. «Сегодня нужно не просто идти вперед, а бежать, максимально консолидируя усилия всех участников рынка СПО, — произнес, развивая идею, Валерий Егоров, заместитель директора НТП «Криптософт». — И если мы говорим о безопасности, то нужно также ускориться, обеспечивая максимальное доверие к открытому коду. Должен быть кто-то, кто отвечает за каждую строчку кода, как его автор или как тот, кто его проверил и проанализировал. Необходимо создавать отечественные репозитории, отдавать предпочтение при создании каждого программного решения именно тем компонентам, которые находятся в составе отечественного репозитория».

«Если у СПО есть российский разработчик, который готов гарантировать техническую поддержку, тогда мы можем говорить об импортозамещении, обеспечении безопасности, технологической независимости», — продолжил его мысль Ренат Лашин, исполнительный директор Ассоциации разработчиков программных продуктов «Отечественный софт».

При этом участники конференции отметили, что в области импортозамещения программного обеспечения у России есть сегодня успехи и значительный потенциал. «У отечественных разработчиков появились хорошие перспективы занять значимую долю рынка, вытеснив иностранных производителей. Но нам необходимо больше внимания уделять совместимости продуктов, создавать комплексные решения, вместе развивать экосистему, — заметил Роман Симаков, директор департамента развития системных продуктов РЕД СОФТ. — Без этого вывести российскую разработку на новый уровень, обеспечить технологический суверенитет и закрыть все потребности рынка невозможно».

На конференции были представлены операционные системы не только на основе свободного кода, но и проприетарные, такие, как созданная в НТП «Криптософт» QP ОС, или разработка «Лаборатории Касперского». «Сегодня на первый план выходят так называемые кибериммунные операционные системы, где кибериммунитет обеспечивается разделением ИТ-системы на изолированные части и контролем взаимодействий между ними, — прокомментировала Анна Кан, начальник аналитического отдела департамента координации и сопровождения программ НИЦ «Институт имени Н.Е. Жуковского». — Большинство возможных атак на кибериммунную систему неэффективно: она продолжит выполнять свои функции даже в условиях агрессивной среды и не позволит злоумышленнику внедриться в нее». Однако, как подчеркнул директор департамента компании «Открытая Мобильная Платформа» Роман Аляутдин, «современные решения без Open Source компонентов сделать невозможно. Даже проприетарные решения будут вынужденно содержать в себе компоненты СПО. Это видно на примере таких крупных корпораций, как Google, Microsoft и так далее».

«Дискуссия «за СПО» или «против СПО» потеряла смысл, потому что базисом всего софта, который будет развиваться в мире, отныне и навсегда будет Open Source, и от этого никуда не деться, — резюмировал Дмитрий Завалишин, генеральный директор ГК DZ Systems, один из основателей OS DAY. — Есть некая идеальная модель мира, в которой есть СПО, а довлеющего центра, насаждающего принятие каких-то решений не существует, вместо него есть сообщество программистов, совместно развивающих создаваемые ими продукты. Россия в такой модели заинтересована, и мы хотели бы к ней двигаться, всемерно ее поддерживать. С другой стороны, существует ситуация де-факто, при которой в определенных сообществах разработчиков есть центры принятия решений, на которые мы, как страна, воздействие имеем слабое, и иногда это создает для нас проблемы. Создание отечественного репозитория поможет приблизиться к идеальной модели и очень многие проблемы решить».

«Доля решений на Open Source каждый год растет, — подвел итог дискуссии президент НП «РУССОФТ» Валентин Макаров. — Эта тенденция наступления эры СПО будет развиваться, и я уверен, что свободный код даст нам большую часть импортозамещающего софта. В условиях поляризованного мира 4 миллиарда людей на Земле надеются, что Россия способна на реализацию крупных проектов. Нам пора сформулировать перспективные технологии, которые будут важны для нового экономического уклада, инициировать собственные проекты, в которые потом смогут войти специалисты и компании из других стран, и приступить к их реализации».

В рамках OS DAY 2022 был подписан меморандум о сотрудничестве в сфере информационных технологий между ассоциацией разработчиков программных продуктов «Отечественный софт» и Институтом системного программирования имени В.П. Иванникова РАН. Цель меморандума — укрепление сотрудничества в области информационных технологий, а также привлечении новейших научных методов для решения задач безопасной разработки ПО.

Конференцию традиционно проводит консорциум OS DAY, его основные цели — определить задачи и возможности России в области разработки операционных платформ, выделить перспективные технологии, обменяться опытом, обозначить вызовы ИТ-отрасли и направления движения. Летом 2023 года OS DAY пройдет уже в десятый раз.

Конференция проводится при поддержке РАН, ФСТЭК России, АРПП «Отечественный софт» и НП «РУССОФТ».

Архив новостей