ИТ Мероприятия: Центростремительное движение. Программисты консолидируют усилия

О создании Технологического центра исследований безопасности ядра Linuх было объявлено на конференции OS DAY «Российские аппаратные платформы и операционные системы», состоявшейся в октябре 2021 г. в Москве, в здании Российской академии наук.

Соорганизаторы конференции – российские компании и организации, которые разрабатывают собственные операционные системы, это ИСП РАН, DZ Systems, «Базальт СПО», «Лаборатория Касперского», РЕД СОФТ, «РусБИТех-Астра», «Криптософт», «Открытая мобильная платформа» и НИЦ «Институт имени Н.Е. Жуковского».

Число российских программных продуктов, опирающихся на ядро Linuх, значительно. Технологическому центру исследований безопасности ядра Linuх предстоит стать опорной точкой для консолидации большого числа компаний и научных институтов отечественной ИТ-отрасли, разрабатывающих операционные системы и программно-аппаратные средства на основе открытого кода. Организацией, курирующей работу Центра, станет ФСТЭК России, а функционировать он будет на базе Института системного программирования им. В.П. Иванникова РАН.

«Linux — наиболее популярная и гибкая платформа для разработки своих дистрибутивов ОС, которая объединяет все самое лучшее, что можно собрать из «открытых» проектов, — считает заместитель руководителя департамента разработки ГК Astra Linux Александр Оружейников. — Большинство отечественных ОС также основано на ядре Linux. Рост Linux-сегмента — общемировой тренд. Даже политика глобальных цифровых гигантов демонстрирует стратегическое смещение вектора в сторону именно UNIX (Linux). Уверен, что в самом ближайшем будущем мы станем свидетелями еще более глубокого проникновения Linux в нашу жизнь».

С распространением ПО, созданного на этой основе, возникла необходимость в решении проблем, связанных с безопасностью программного кода ядра. Между тем, коммерческие компании, разрабатывающие операционные системы на основе СПО, не всегда имеют возможность сконцентрироваться на анализе кода. В ходе своей деятельности они изменяют политики безопасности, подключают собственные программные модули, создают новые, востребованные пользователем продукты, но на исследование безопасности кода ядра у них зачастую не хватает ресурсов – специалистов, средств тестирования, а иногда и просто времени. В результате, незамеченная уязвимость может «кочевать» из релиза в релиз.

По словам заместителя руководителя ФСТЭК России Виталия Лютикова, другими проблемами в этой же области являются использование чрезмерно широкого спектра версий ядра Linux и технологическая зависимость российских программистов от зарубежных разработчиков. «Очень часто разработчик дистрибутива получает информацию о том, что в ядре или библиотеках, средах исполнения есть уязвимость, но не предпринимает ничего, ждёт, когда появится обновление, либо выйдет новая версия, – отметил он, выступая на конференции. – Собственной квалификации для исправления ему не хватает, а в результате мы в плане устранения проблем оказываемся зависимы от той работы, которая проводится не у нас».

Между тем, уязвимости в коде ядра могут быть чреваты серьезными последствиями. «Векторы атаки могут быть самые разнообразные, – говорит заместитель директора компании «Криптософт» Валерий Егоров. – Для профессионала любая ошибка превращается в уязвимость, которую можно использовать для атаки. В ядре Linux десятки уязвимостей не закрываются годами».

Решить эти проблемы и призван Технологический центр исследования безопасности ядра Linux. Его главной задачей станет консолидация усилий компаний и организаций, разрабатывающих программные продукты на базе Linux для повышения защищенности этих продуктов и обеспечения технологического суверенитета российских разработчиков. «В России недостаток квалифицированных кадров, они «размазаны» по множеству различных компаний, и в результате кадровый голод испытывают все, – отметил Роман Симаков, директор департамента развития системных продуктов «РЕД СОФТ». – На фоне тысяч программистов в мире, которые занимаются отладкой ядра, мы выглядим бледно. Так что цель создания Центра – объединить усилия, сделать российскую ИТ-отрасль заметным игроком, чтобы продвигать собственные идеи и наработки».

О том, как будет работать Центр на практике, на круглом столе в рамках OS DAY 2021 рассказал руководитель Центра Алексей Хорошилов. По его словам, главными задачами его работы должны стать постоянный анализ ядра Linux, поддержка той ветки ядра, которая находится в центре внимания российского ИТ-сообщества, и плотное взаимодействие с этим сообществом в духе «клиент всегда прав, если это ведёт к повышению безопасности ядра». Анализировать ядро предполагается при помощи всех возможных для этого методик – статического и архитектурного анализа, фаззинг-тестирования, системного и модульного тестирования, полносистемного динамического анализа помеченных данных. Делать это придется «по частям». «Linux – это 22 млн. строк кода, включающего совершенно разные компоненты, начиная от криптографии и сетевых протоколов, – говорит Алексей Хорошилов. – Это целая вселенная, в которой нам предстоит еще разбираться и разбираться».

Готовность подключиться к работе Центра высказало большинство собравшихся в здании РАН представителей компаний, работающих с Linuх. Это и понятно: консолидация действий в области обеспечения безопасности программного кода позволит каждому участнику проекта сэкономить ресурсы и время, упростит процесс сертификации программного обеспечения. А разработка патчей по устранению уязвимостей и ошибок, подготовка методик и рекомендаций по реализации мер безопасной разработки ядра Linux позволят решить те проблемы, с которыми компании сталкиваются уже сегодня. Как отметил директор Института системного программирования РАН Арутюн Аветисян, «у нас есть общее дело, которым мы вместе будем заняты в ближайшие десятилетия».
#DZSystems, #Linuх, #OSDAY, #ИТ