Актуальные вопросы безопасности операционных систем обсуждались этим летом на ежегодной международной научно-практической конференции OS DAY 2022, состоявшейся в Москве, в здании РАН. В ней приняли участие более 2000 программистов, ученых, разработчиков аппаратных комплексов, представители российских министерств и ведомств, компаний-вендоров отечественных ОС.
Один из самых острых вопросов сегодняшнего дня для отечественной отрасли ИТ — формирование технологического суверенитета России. Когда речь заходит об операционных системах, в центре внимания оказываются те из них, что созданы на основе свободного ПО. Как подчеркнул в своем выступлении на конференции директор департамента компании «Открытая Мобильная Платформа» Роман Аляутдин, «современные решения без Open Source компонентов сделать невозможно. Даже проприетарные решения будут вынужденно содержать в себе компоненты СПО. Это видно на примере таких крупных корпораций, как Google, Microsoft и так далее».
Как следствие, первоочередной задачей российских программистов стало обеспечение безопасности используемых компонентов свободного программного обеспечения. Для успешного выполнения этой задачи в минувшем 2021 году был создан и уже активно работает Технологический центр исследования безопасности ядра Linux под эгидой ФСТЭК России, организована инфраструктура для систематического исследования безопасности критичных компонентов. Эти проекты объединили усилия множества российских программистов по обеспечению безопасности наиболее востребованных компонентов свободного программного обеспечения. Совместная работа российских коммерческих компаний и научных институтов помогла сформировать новые методики исследования безопасности. В Технологическом центре изучаются потенциальные угрозы, выявленные с помощью статического анализа и фаззинг-тестирования, готовятся исправления, формируются указания и рекомендации для разработчиков программного обеспечения.
Как отметил Дмитрий Шевцов, начальник управления ФСТЭК России, отечественные операционные системы постепенно перестраиваются для работы с программным обеспечением, рекомендованным Технологическим центром. «Основное направление нашей деятельности в обеспечении защиты информации — это применение сертифицированных доверенных технологий, сертифицированных операционных систем, средств виртуализации, средств контейнеризации, сертифицированных систем управления базами данных, — подчеркнул он в выступлении на круглом столе. — Мы уходим от применения „наложенных“ средств защиты и движемся в направлении разработки собственных технологий, на которые можно уверенно полагаться, используя их в критической инфраструктуре Российской Федерации».
Ведущий научный сотрудник ИСП РАН Алексей Хорошилов в своем выступлении подвел первые итоги работы Технологического центра — сформированы процессы сопровождения ветки ядра Linux версии 5.10, рекомендуемой для использования при конструировании отечественных операционных систем. Создана экспертная группа, состоящая из представителей 14 отечественных компаний, в рамках которой формируются принципы функционирования Технологического центра и отрабатывается применение разработанных методик исследования безопасности ядра. В ходе этих работ уже удалось выявить несколько десятков ошибок, исправления для которых были отправлены в международное сообщество разработчиков и включены ими в основную ветку ядра.
Коллективная работа российских программистов в рамках Технологического центра уже показала первые результаты, значительно повысив как безопасность компонентов СПО, используемых отечественными разработчиками, так и доверие к Open Source. «Такие работы должны вестись в каждой компании, которая применяет свободное программное обеспечение, — подчеркнул Арутюн Аветисян, директор ИСП РАН. — Но объединение усилий — это, конечно, наиболее эффективный подход. Только так можно вывести качество на новый уровень».
Формировать отечественный репозиторий ПО призвал Валерий Егоров, заместитель директора компании «Криптософт», он отметил, что даже в проприетарной операционной системе QP ОС, созданной этой компанией, в состав прикладных программ входят составной частью решения на базе открытого ПО.«Наша задача вместе со всеми идти вперед, и делать это быстро», — отметил Алексей Новодворский, советник генерального директора «Базальт СПО». С этим его утверждением трудно не согласиться: для того, чтобы сохранить свои позиции, отечественной ИТ-отрасли приходится развиваться очень быстро, а чтобы двигаться вперед, — делать это вдвое быстрее, как это описывал один известный английский математик. Итоги конференции OS DAY 2022 показали, что отрасль к этому готова и потенциалом для развития обладает немалым.