Безопасность свободного программного обеспечения стала одной из ключевых тем Международной конференции «Киберстабильность: подходы, перспективы, вызовы», которая состоялась 7-8 декабря в МИД РФ в Москве.
Алексей Смирнов, председатель совета директоров «Базальт СПО», принял участие в сессии «Тенденции и риски в российском и мировом киберпространстве». В своем докладе он отметил, что для достижения технологической независимости России в сфере ИТ необходимо развивать не только внутреннюю, но и международную кооперацию разработчиков программного обеспечения. Сегодня ни одна страна в мире не имеет достаточно ресурсов, чтобы в одиночку разработать аналог всей мировой экосистемы программного обеспечения. Стоит отметить, что данная экосистема развивается несколькими путями. Взаимодействие с новыми партнерами — странами ОДКБ, ШОС, БРИКС — только начинает складываться, а ключевым направлением остается многолетнее сотрудничество с международными проектами разработки свободного ПО. Сегодня наши программисты продолжают участвовать в работе более 300 подобных проектов.
Сотрудничество с международными проектами СПО — это не слепое заимствование чужих разработок, а взаимный обмен технологиями и идеями. Так, алгоритмы GOST были добавлены и включены в основную международную ветку для использования в компонентах ядра linux, а ключевой разработчик «Базальт СПО» выпускал одну из версий базовой библиотеки glibc.
Наработки, выполненные в рамках международных проектов СПО, можно и нужно монетизировать. Однако возникает вопрос: как быть с безопасностью конечного продукта, в который включены решения международных проектов СПО? «Гарантировать безопасность продукта может только разработчик, который имеет опыт обеспечения долгого жизненного цикла своего продукта и регулярно работает над выявлением и устранением уязвимостей в нем, — подчеркнул Алексей Смирнов. — Важнейшее условие — наличие у вендора собственной инфраструктуры разработки, которая позволяет обеспечивать безопасность ПО, начиная с ранних стадий его создания».
«Базальт СПО» на протяжении 20 лет развивает собственную инфраструктуру разработки «Сизиф», на основе которой создает линейку операционных систем «Альт». Сегодня эта инфраструктура меняется в соответствии с требованиями ФСТЭК России, которые смещаются от проверки продуктов к проверке безопасности процесса разработки. В 2023 году должен выйти документ, регламентирующий сертификацию процесса безопасной разработки продукта. Наличие такого сертификата у разработчика сильно упростит возможность модификации программных продуктов.
«Сизиф» уже сейчас готов пройти соответствующую проверку для подтверждения безопасности процесса разработки. В него интегрированы средства анализа разработки «Базальт СПО», международный инструментарий, а также отечественные инструменты, созданные специалистами Института системного программирования РАН и другими отечественными разработчиками.
Все программные пакеты проходят тщательное тестирование: фаззинг, статический анализ. В дистрибутивы операционных систем попадают только пакеты, собранные под аудитом.
«С точки зрения безопасности разработка свободного ПО ничем не отличается от разработки проприетарного, — отметил Алексей Смирнов. — Более того, исходные тексты свободных программ открыты для всех, поэтому заказчик при желании может провести независимый аудит программного кода и удостовериться в его безопасности».