14.10.2018

Свободное ПО = безопасное ПО. 15-я конференция разработчиков свободных программ

Тема безопасности стала одной из доминирующих на Пятнадцатой конференции разработчиков свободных программ, которая состоялась в конце сентября в Калуге.

Первая волна корпоративных программ импортозамещения уже вышла на стадию реализации, российские организации и предприятия «второй волны» изучают рыночные предложения. Один из обязательных критериев, по которому выбирается отечественный софт – его безопасность, надежность и соответствие российским ГОСТам. 

Создавая программные продукты, требующиеся отечественным потребителям, разработчики свободного софта должны решать две задачи одновременно: взаимодействовать с международными проектами СПО и учитывать «местную специфику» требований по безопасности. Решить эту дилемму позволяет включение созданных компонентов в международные разработки. 

Дмитрий Белявский (компания «Криптоком») рассказал об опыте взаимодействия с международными проектами разработки СПО: «Поддержка российской криптографии в Open Source продуктах, по вполне объяснимым причинам, становится все более актуальной. Наша компания создает системы криптографической защиты информации, опираясь на свободное ПО. Мы дорабатываем свободный софт по ГОСТ, расширяем его возможности для использования в России. И последовательно внедряем результаты в проект развития OpenSSL – одного из самых популярных в мире криптографических пакетов с открытым исходным кодом». 

Леонид Кантер (Cloud Linux Inc) поделился опытом построения и внедрения единой корпоративной системы управления идентификационной информацией, которая развивается на базе свободных продуктов FreeIPA и Ipsilon. Он пояснил, почему в подобной системе рано или поздно начинает нуждаться каждый потребитель: «В процессе развития любой компании неизбежно возникает момент, когда администрирование пользователей становится невозможным без единой корпоративной системы управления идентификационной информацией сотрудников, которая, с одной стороны, хранила бы организационную информацию о пользователях: такую как имя, контакты, отдел, должность; с другой стороны, позволяла бы управлять политиками доступа к ресурсам». 

Александр Боковой (Red Hat) назвал критически важной задачу по обеспечению безопасности данных. Он поделился достижениями свободных проектов Clevis и Tang, которые создают масштабируемую платформу для шифрования хранимых данных и обеспечения контроля над их доступом. А также рассказал о технологии удаленного шифрования дисковых подсистем в Red Hat Enterprise Linux, которая позволяет регламентировать доступ к зашифрованным данным при облачном хранении, предохранить украденные данные от расшифровки, уменьшить риски воровства при транспортировке физического носителя. 

Дмитрий Державин (Базальт СПО») рассказал о проблемах обеспечения совместимости отечественных программных продуктов с операционной системой Альт. Он отметил, что заказчикам сегодня нужны программные комплексы, включающие совместимое ПО, для сквозной автоматизации бизнес-процессов. Поэтому крайне желательно, чтобы разработчики прикладного софта придерживались единых сборочных сценариев. Это поможет сэкономить ресурсы и подготовить программные пакеты к использованию в составе совместных решений. 

Безопасность ИТ-инфраструктуры можно рассматривать еще и с точки зрения ее технологической независимости. Несколько докладов посвятили разработкам ПО для российских аппаратных платформ. Представлены версии операционной системы для российских компьютеров – «Таволга» на базе процессоров отечественной разработки «Байкал-Т1» и «Эльбрус», а также для компьютеров на базе процессора RISC-V с открытой системой команд, доступной для свободного и бесплатного использования. Была продемонстрирована рабочая станция «Эльбрус 801-РС», оснащенная операционной системой Альт. На базе такой станции можно развернуть до шести рабочих мест. 

Советник международной юридической фирмы Dentons Татьяна Никифорова рассказала, как повысить правовую защищенность программного продукта на базе СПО и сделать его более привлекательным для заказчиков и инвесторов с позиции управления правовыми рисками. Андрей Савченко предложил понятный для разработчиков подход к СПО-лицензиям как к программе, что позволяет выявить ее уязвимости и избежать юридических рисков. 

Участники конференции отметили, что свободный обмен знаниями и результатами труда, принятый в сообществе СПО, позволяет обеспечивать высокий уровень безопасности программных продуктов. «Мы делимся друг с другом идеями, найденными решениями, кодом, – сказал Алексей Новодворский, заместитель директора «Базальт СПО», компании-организатора конференции. – Участники нашей встречи – товарищи, а не противники, хотя среди них есть и представители фирм–конкурентов. Я очень рад, что за пятнадцать лет существования конференции разработчиков свободного ПО в наших рядах появляется много молодежи, разделяющей принципы сообщества СПО. Поэтому есть основание для оптимизма».