Сотрудничество между ИСП РАН и «Базис» началось еще в 2023 году, когда стороны договорились о предоставлении разработанных в институте инструментов статического и динамического анализа, в том числе фаззинга и определения поверхности атаки, и сопутствующих им услуг. Эти инструменты уже внедрены в процессы безопасной разработки, развернутые в «Базисе».
В соответствии с соглашением о научно-исследовательской деятельности № 3021-23-137, ИСП РАН реализует для «Базиса» проект по статическому и динамическому анализу для поиска ошибок и уязвимостей в продуктах компании. На подготовительном этапе были определены двадцать компонентов ПО (среди них QEMU, libvirt, и др.), которые будут подвергнуты анализу.
Запланированный анализ уже проводится на мощностях Центра исследований безопасности системного ПО, созданного на базе ИСП РАН по инициативе ФСТЭК России. Вокруг Центра создан Консорциум по поддержке Центра, в который входят более 30 компаний и ВУЗов. Таким образом, Центр занимается не только техническими исследованиями, но и формирует отечественное сообщество экспертов, которые занимаются повышением безопасности системного ПО.
Результаты анализа компонентов будут открытыми, в частности, все фаззинг-цели будут распространяться в соответствии с регламентом Центра; предлагаемые исправления планируется подавать для включения в основные ветки исследуемых компонентов. На данный момент уже 4 таких исправления были приняты в репозитории Apache ActiveMQ и ApacheDS.
«Подписание этого соглашения переводит сотрудничество с «Базис» на качественно новый уровень. Теперь наша совместная работа заключается не только во внедрении инструментов безопасной разработки, созданных в институте. Вместе мы создаем сообщество вокруг экосистемы доверенного системного ПО, в том числе с вовлечением образовательных организаций – МГТУ им. Н.Э. Баумана, Чувашского государственного университета. Результаты работы послужат укреплению технологической независимости страны, а участие студентов в исследовательских проектах будет способствовать повышению их квалификации как будущих специалистов по безопасной разработке ПО», – рассказал директор ИСП РАН, академик РАН Арутюн Аветисян.
«Повышение качества и защищенности продуктовой экосистемы «Базиса» – одно из приоритетных направлений нашей работы. Поэтому мы рады, что в развитии этого направления примет участие такая авторитетная организация как Институт системного программирования РАН. Также не могу не отметить важность построения экспертного сообщества и вовлечение в этот процесс студентов. На российском рынке сейчас ощущается нехватка квалифицированных кадров, и эта проблема сдерживает развитие отечественных ИТ-компаний. Надеюсь, что вместе с Центром исследования безопасности системного ПО мы будем содействовать ее решению», — отметил Дмитрий Сорокин, технический директор «Базис».