«Базальт СПО» получила премию за защищенную операционную систему «Альт СП»

«Мы получили премию ТБ Форума за операционную систему "Альт СП", сертифицированную в ФСТЭК России. Она представляет собой целую систему, набор системного софта: контейнеризация и виртуализация, базы данных, системы для серверов и рабочих станций. Сам форум оказался ярким и интересным, и мы на нем достойно выступили», — сказал председатель Совета директоров «Базальт СПО» Алексей Смирнов.

На стенде компании участники форума смогли протестировать ключевые инструменты ОС «Альт СП», включая программный комплекс «Альт Домен» для централизованного управления компьютерами и учётными записями.

Особенности ОС «Альт СП»

Операционная система обладает встроенными средствами защиты информации и соответствует требованиям ФСТЭК России. Продукт необходим организациям, предъявляющим повышенные требования к защите информации, использующим критическую информационную инфраструктуру (КИИ), автоматизированные системы управления технологическими процессами (АСУТП) и государственные информационные системы. «Альт СП» имеет интуитивно понятный интерфейс, а по умолчанию устанавливается тема «как Windows», что делает внешний вид привычным для пользователей.

«Базальт СПО» и безопасная разработка

В ходе деловой программы форума обсуждался опыт внедрения практик безопасной и качественной разработки, средства и методики анализа защищённости информационных систем.

По мнению специалистов «Базальт СПО», разработка безопасного программного обеспечения и укрепление доверия к свободным проектам напрямую связаны с постоянным анализом исходного кода и наблюдением за поведением приложения во время выполнения. По мере роста количества проектов, а также увеличения и профессионального развития команды все острее ощущается потребность в инструменте, который сохраняет и систематизирует накопленный опыт, автоматически применяет наработки для новых релизов, отслеживает результаты анализа и формирует задачи для устранения уязвимостей.

Руководитель отдела безопасности разработки ПО Николай Костригин выступил с докладом. Он рассказал, какие подходы к РБПО-исследованиям применяет команда «Базальт СПО» и как конвейер автоматизации Hantis помогает минимизировать число рутинных операций, превращая поиск и устранение уязвимостей в понятный и менее утомительный процесс.

«С самого начала наших исследований в области фаззинга свободного ПО мы хотели сосредоточиться на поиске уязвимостей, а не на обслуживании виртуальных машин и контейнеров. Мы разработали структуру и методику обновления инструментальных git-репозиториев, которые соответствуют конкретной версии исследуемого RPM-пакета с ПО в репозитории "Сизиф" или его стабильных ветвях и развиваются вместе с ними», - сказал он.

Костригин подчеркнул, что они включают базу знаний об объекте исследования, набор контейнер-файлов и скриптов, фаззинг-цели и могут автоматически пересобираться при обновлениях, перенося обвязки на новые версии.

«С появлением статического анализа и инструментов для поиска поверхности атаки требования к автоматизации выросли. Мы обобщили их и создали конвейер, который помогает эффективно ориентироваться в процессе», — подчеркнул он.