Власти предложили участникам рынка вместе искать дыры в Linux

Власти пригласили игроков ИТ-рынка совместно искать уязвимости операционной системы Linux, на базе которой создается отечественный софт. Результаты этой работы готовы засчитывать при получении сертификатов безопасности продуктов.

Власти пригласили компании, которые делают продукты на базе операционной системы Linux, участвовать в работе создаваемого сейчас Технологического центра исследования безопасности ядра (основного кода) этой операционной системы. Об этом сообщил замруководителя Федеральной службы по техническому и экспортному контролю (ФСТЭК) Виталий Лютиков на конференции OS DAY «Российские аппаратные платформы и операционные системы», которая проходила на прошлой неделе в Москве, передает корреспондент РБК.

Среди задач ФСТЭК — защита гостайны, противодействие техническим разведкам, обеспечение безопасности критической информационной инфраструктуры (сети связи и информационные системы госорганов, энергетических, финансовых и др. компаний).



В начале года ФСТЭК объявила тендер на создание Технологического центра для исследования безопасности ОС, сделанных на базе ядра Linux. Его победителем стал Институт системного программирования им. В.П. Иванникова Российской академии наук (ИСП РАН). Помимо исследований эта организация разрабатывает технологии и продукты для Samsung, Huawei, Intel и др. Также ИСП РАН сотрудничает с некоммерческим консорциумом Linux Foundation, тестирует различные продукты на совместимость с этой ОС.

По словам ведущего научного сотрудника ИСП РАН Алексея Хорошилова, в следующем году центр должен запуститься в опытной эксплуатации, а в 2023-м — в промышленной. Всего на его создание в федеральном проекте «Информационная безопасность» нацпрограммы «Цифровая экономика» предусмотрено 300 млн руб.

В центре будут работать как сотрудники ИСП РАН, так и представители разработчиков продуктов на базе Linux на возмездной основе или общественных началах. «Если в продукт, проходящий сертификацию в России, входит ядро Linux, то к его разработчику предъявляются требования по поиску уязвимостей, — пояснил Хорошилов. — Сейчас разные компании по-разному выполняют эти требования, у кого-то недостаточно ресурсов».

По словам Лютикова, пока игроков рынка просят поучаствовать в работе центра «интеллектуальным вкладом» — наработками, опытом. Те компании, которые согласятся, смогут использовать исследования центра при сертификации своих продуктов. Причем замглавы ФСТЭК считает, что доступ к результатам должен соответствовать тому вкладу, который привнесет компания. Он подчеркнул, что пока участие в работе центра будет добровольным, но в то же время предупредил, что в дальнейшем методика сертификационных испытаний будет усложняться.

Зачем нужен центр

Linux распространяется на условиях свободного лицензионного договора (пользователь может использовать ее в любых не запрещенных законом целях; имеет доступ к исходному коду для его изучения или переработки, внесения изменений). На базе ее ядра создаются операционные системы для суперкомпьютеров, серверов и другой техники, в том числе софт, включенный в реестр отечественного ПО, который госструктуры должны покупать в приоритетном порядке.

Как подчеркнул Виталий Лютиков, в Open Source выявляется большое количество уязвимостей. В частности, летом один из разработчиков ядра Linux и сотрудник Google Кис Кук говорил, что сообществу не хватает программистов, чтобы вовремя устранять найденные уязвимости. По мнению замглавы ФСТЭК, в ситуациях, когда международное сообщество Linux не считает нужным устранять какие-то ошибки в коде, консолидация усилий должна позволить российским специалистам самостоятельно провести эту работу.

Готовы ли компании участвовать в работе

По словам директора по продукту «Открытой мобильной платформы» (разработчик ОС «Аврора») Сергея Аносова, они уже выделили инженеров, которые практически постоянно будут работать в интересах создаваемого центра.

Ведущий разработчик «Базальт СПО» Игорь Чудов отметил, что сейчас игроки российского ИТ-рынка «боятся идти на коммуникацию из-за конкуренции», даже несмотря на существование одинаковых проблем, а «сторонняя организация сможет выступать третьим лицом между компаниями и даст возможность поделиться наработками».

Начальник отдела перспективных исследований и специальных проектов ГК Astra Linux Роман Мылицын считает, что центр позволит разработчикам сэкономить время для достижения больших результатов. Программисты получат ориентиры, на какие версии ядер направлять усилия, что «станет серьезным шагом на пути унификации решений, которая ускорит и удешевит разработку ядра ОС».

В то же время сразу несколько участников рынка высказали опасения, что инициатива выльется в закрытую разработку, без сотрудничества с международным сообществом. Однако Хорошилов заявил, что такое сотрудничество предполагается: «Сейчас некоторые представители международного сообщества жалуются, что большинство доработок Linux касаются функциональности, поскольку именно это в первую очередь заказывают компании, которые предоставляют ресурсы на разработку ядра. На поиск уязвимостей и повышение безопасности не всегда есть ресурсы, поэтому мы рассчитываем, что деятельность центра будет поддержана и международным сообществом».

Тимофей Корнев, Анна Балашова

Тематики: ПО, Регулирование, Безопасность

Ключевые слова: Linux, регулирование, ФСТЭК