Как убедиться, что выбранная российская ОС санкционно безопасна?
Российские программные продукты должны дать организации или предприятию возможность обеспечить технологический суверенитет ИТ-инфраструктуры и выполнить требования Указа Президента Российской Федерации от 30.03.2022 № 166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации». Как убедиться, что выбранная система санкционно безопасна? На вопрос отвечает Сергей Трандин, генеральный директор «Базальт СПО».
Санкционная устойчивость, производительность, и защищенность операционной системы (ОС) напрямую зависит от того, насколько инфраструктура ее разработки способна поддерживать полный жизненный цикл программного продукта.
Что нужно принять во внимание при выборе ОС?
Наличие у разработчика собственной инфраструктуры разработки программных продуктов, находящейся на территории и под юрисдикцией Российской Федерации. Это дает разработчикам стопроцентную самостоятельность в принятии решений о развитии ОС в интересах российских пользователей. В частности, о поддержке архитектуры отечественных процессоров и российской криптографии.
Наличие в инфраструктуре собственного репозитория (хранилища программных пакетов), развитие которого не зависит от зарубежных репозиториев и корпораций.
Наличие нестабильной (экспериментальной) ветки репозитория, на которой отрабатываются новые технологии и решения — свидетельство самостоятельной разработки, а не «клонирования» готовых зарубежных продуктов.
Открытость всего исходного кода ОС. Имея доступ к исходному коду, все члены сообщества свободного ПО могут исследовать его на наличие уязвимостей и исправлять обнаруженные ошибки. Эрик Раймонд, один из идеологов движения open source, сформулировал «закон Линуса»: «Когда на код смотрят тысячи глаз, все ошибки видны, как на ладони».
Равноправное сотрудничество разработчиков российской ОС с международными проектами свободного ПО. Обеспечивается двунаправленный трансфер технологий: лучшие мировые достижения включаются в российскую ОС, а разработки, полезные для наших пользователей, — в решения международных проектов.
Операционная система, процессы разработки которой удовлетворят всем этим условиям, способна обеспечить реальный технологический суверенитет.
Собственная инфраструктура разработки вендора — гарантия технологического суверенитета заказчика.
Образно говоря, инфраструктура разработки — это «фабрика» по производству программного обеспечения, в которой:
- «средства производства» — это оборудование, программные инструменты разработки, тестирования, сборки и т. п.;
- «сырье» — программные пакеты, разработанные российскими программистами и международными проектами свободного ПО;
- хранилище «сырья» и готовой продукции — репозиторий (банк) программных пакетов;
- готовая продукция — семейство операционных систем;
- «персонал» — профессиональная команда разработчиков.
На сегодняшний день собственной «фабрикой» по производству российских операционных систем, не подконтрольной влиянию зарубежных фирм, располагает команда разработчиков ОС «Альт». Это обеспечивает суверенитет в принятии решений о развитии ОС, ориентиром служат потребности пользователей и требования российских регуляторов. Заказчики получают самостоятельный российский программный продукт, а не клон зарубежного.
Семейство операционных систем «Альт» покрывает потребности корпоративных заказчиков и частных пользователей. Оно объединяет сертифицированную ФСТЭК России ОС «Альт СП», «Альт Рабочая станция», «Альт Сервер», «Альт Виртуализация», «Альт Образование» и Simply Linux. Все ОС спроектированы с учетом возможности интеграции между собой. Корпоративным заказчикам это дает возможность строить информационные системы любого масштаба и сложности.
Стек инструментов и технологий разработки ОС «Альт»
Вся инфраструктура разработки ОС «Альт» локализована на территории России, находится под российской юрисдикцией, поддерживается компанией «Базальт СПО» и соответствует требованиям ГОСТ Р 54593-2011 «Информационные технологии. Свободное программное обеспечение».
В составе инфраструктуры — стек инструментов и технологий, в том числе созданных командой разработчиков ОС «Альт». Они предназначены для написания и модификации кода, безопасной сборки и безопасного хранения программных пакетов с сохранением зависимостей между ними, для автоматического тестирования и др. Наличие таких инструментов и технологий служит подтверждением самостоятельной разработки, а не «клонирования» зарубежных разработок.
В инфраструктуру интегрированы методы обеспечения безопасной разработки ОС «Альт». Код подвергается исследованию различными тестами в процессе создания программного продукта, что существенно повышает уровень его безопасности.
Независимый репозиторий проекта «Сизиф», один из крупнейших в мире
Жизненный цикл операционных систем семейства «Альт» реализуется на основе российского репозитория проекта Sisyphus (Сизиф) — одного из крупнейших в мире технологически независимых репозиториев, наряду с Debian, Red Hat и SUSE. В этом репозитории хранятся все компоненты, необходимые для развития российских операционных систем: исходный код, бинарные пакеты, образы операционных систем «Альт», контейнеры. «Сизиф» формируется на основе собственных разработок российских программистов (многие из этих проектов стали проектами международного уровня), а также на основе разработок международных проектов свободного ПО. Перед включением в репозиторий каждый пакет проходит проверку и пересборку.
При выборе ОС надо обратить внимание на наличие экспериментальной (так называемой «нестабильной») ветки репозитория и открытость инфраструктуры разработки.
Нестабильная ветка — это своего рода лаборатория разработчиков, где они отрабатывают собственные идеи по развитию ОС в интересах российских потребителей. В том числе обеспечивается возможность работы ОС на компьютерах с российскими и наиболее популярными зарубежными процессорами. Сегодня ОС «Альт» одинаково успешно работает на компьютерах «Эльбрус» (интеллектуальные права на процессорную архитектуру находятся в российской юрисдикции), на оборудовании с процессорами Intel, AMD, ARM (в том числе — компьютерах «Байкал»), RISC-V. Пользователи ОС «Альт» могут выбрать и приобрести компьютеры, которые точнее всего соответствуют их потребностям.
Открытость инфраструктуры разработки ОС «Альт» подразумевает в том числе открытость всего исходного кода и прозрачность процесса развития ОС. Такой подход позволяет вести систематическую работу над повышением безопасности ОС не только силами ее разработчиков, но и сторонних программистов. Они тестируют код, вносят предложения по его улучшению, сообщают об обнаруженных уязвимостях, которые максимально быстро устраняются.
Для того чтобы в режиме реального времени увидеть, как в данный момент идет разработка ОС «Альт», можно воспользоваться приложением Packages.altlinux.org (разработка «Базальт СПО»).
ИТ-специалисты заказчиков могут использовать инфраструктуру разработки «Альт», чтобы адаптировать операционную систему и прикладное ПО к реалиям своего предприятия, а специалисты сервисных компаний — для оказания услуг техподдержки.
Репозиторий проекта «Сизиф» открыт для всех разработчиков ПО: достаточно пройти процедуру вступления в сообщество, принять правила работы и четко им следовать. Таким образом, на основе репозитория можно разрабатывать не только операционные системы, а любые отечественные программные продукты, необходимые российским потребителям.
Профессиональная команда разработчиков
Открытую инфраструктуру разработки ОС «Альт» более 20 лет развивает добровольное некоммерческое объединение ALT Linux Team. Его участники создали и совершенствуют собственный оригинальный стек технологий разработки, хранения и сборки программных пакетов.
ALT Linux Team и «Базальт СПО» самостоятельно определяют политику развития репозитория проекта «Сизиф». Сообщество открыто для сотрудничества: разработчики, заинтересованные в развитии ОС «Альт» или собственных программных продуктов, могут присоединиться к команде ALT Linux Team. Чтобы исходный код, размещенный в репозитории проекта «Сизиф», становился общим достоянием и служил базой для наращивания экосистемы российских программных продуктов, регламент репозитория предписывает выпускать его под свободными лицензиями.
Зачем российские программисты участвуют в международной разработке свободного ПО?
Операционные системы — это сложные многокомпонентные решения. Их создание и развитие требует колоссальных человеческих, временных и финансовых ресурсов. Международная кооперация разработчиков СПО дает возможность распределять эту нагрузку. Проекты обмениваются своими наработками, разрабатывая компоненты — отдельные «детали», из которых собираются готовые программные продукты. Таким образом, разработчики могут существенно экономить ресурсы и быстрее выпускать новые версии продуктов, используя лучшие мировые наработки. На принципе свободного обмена кодом построена вся сфера свободного программного обеспечения.
Но разработчики разных российских ОС неодинаково понимают сотрудничество с международным сообществом СПО, что влияет на качество и санкционную устойчивость программных продуктов.
Например, разработчики ОС «Альт» участвуют в международных проектах СПО в роли ведущих специалистов и ответственных за выпуск версий. Их код есть в ядре Linux, в основных системных библиотеках и других ключевых компонентах свободного ПО, им удалось внедрить в свободные международные криптографические библиотеки поддержку стандартов шифрования семейства ГОСТ и т. п. Благодаря такому подходу международная разработка развивается с учетом потребностей российских пользователей. Компоненты, созданные проектами, команда ОС «Альт» проверяет, пересобирает и помещает в репозиторий проекта «Сизиф». И на его основе развивает операционные системы. Таким образом, разработчики ОС «Альт» обеспечивают потребителей самыми современными технологиями мирового уровня.
Условие санкционной устойчивости ОС
Построение качественной, защищенной, санкционно устойчивой ИТ-инфраструктуры возможно только при условии применения технологически суверенных операционных систем, развивающихся на независимой инфраструктуре разработки. Это исключает риски санкционного влияния на цифровую инфраструктуру органов власти, субъектов КИИ и организаций социальной сферы.
■ erid:Kra23vYZ4Рекламодатель: ООО "Базальт СПО"ИНН/ОГРН: 7714350892/1157746734837Сайт: https://www.basealt.ru/Короткая ссылка на материал: //cnews.ru/link/a19941