OS Day 2023: ФСТЭК России настаивает на унификации отечественного ПО

OS Day 2023: ФСТЭК России настаивает на унификации отечественного ПО

OS Day 2023: ФСТЭК России настаивает на унификации отечественного ПО

Главной темой круглого стола Х конференции OS Day 2023 стала унификация российского ПО. Она необходима для совместимости сертифицируемых продуктов. Но разработчики настаивают на создании новых стандартов для достижения поставленной цели.

 

 

 

 

 

 

  1. Введение
  2. Зачем нужна унификация?
  3. Разработчики об унификации
  4. Нужны конкретные стандарты, а не общие правила
  5. Необходимость унификации
  6. Унификация как путь к технологической независимости
  7. Безопасная разработка
  8. Пути развития
  9. Профессиональное объединение российских разработчиков
  10. Выводы

Введение

В июне в Математическом институте им. В. А. Стеклова РАН (Москва) прошла юбилейная научно-практическая конференция OS Day 2023. Организатором этой дискуссионной площадки выступает Институт системного программирования РАН, который раз в год собирает российских производителей системного софта и предлагает им обсудить главные темы ведомых ими разработок. Цель — координация с теми задачами, решением которых занято государство.

Во время проведения круглого стола — центрального события этого мероприятия в нынешнем году — сторону государства представляли Александр Шойтов, заместитель министра цифрового развития, связи и массовых коммуникаций РФ, и Дмитрий Шевцов, начальник управления ФСТЭК России. Обсуждалась тема взаимодействия производителей ОС и прикладного ПО для достижения унификации отечественных разработок. Она необходима, как считают в правительстве, для обеспечения совместимости между отдельными разработками в условиях их применения в рамках единой платформы.

Выдвинутая тема оказалась действительно дискуссионной. Но оказалось, что каждый понимает её по-своему.

 

Рисунок 1. Круглый стол на Х юбилейной научно-практической конференции OS Day 2023

Круглый стол на Х юбилейной научно-практической конференции OS Day 2023

 

Зачем нужна унификация?

Задача унификации российского ПО стала особенно актуальной в прошлом году, когда выяснилось, что в процессе формирования реестра отечественного софта проявились признаки несовместимости отдельных продуктов. Уже на первых этапах стало ясно, что создаваемые в России программы плохо сочетаются с другими отечественными разработками, когда заходит речь об их совместном использовании.

Как заявил Дмитрий Шевцов, корнем этой проблемы стали коммерческие интересы производителей, сосредоточившихся на развитии функциональных возможностей своих программ и не стремившихся к совместимости с другими продуктами на российском рынке. 

Главным требованием к российским продуктам со стороны ФСТЭК России в прошлом году, как показали итоги OS Day 2022, было применение методологии безопасной разработки и тестирования. Эти темы подробно разбирались, например, на эфирах AM Live. Для унификации федеральная служба предложила использовать в качестве базовой сертифицированную версию ядра Linux 5.10. Были проработаны основные риски и составлены требования по безопасности при эксплуатации российских продуктов, подготовлен план внедрений, для чего предварительно собрали данные от разработчиков.

 

Рисунок 2. План перехода российских ОС на ядро Linux 5.10 (ФСТЭК России, 2022)

План перехода российских ОС на ядро Linux 5.10 (ФСТЭК России, 2022)

 

Принимая во внимание то, что безопасность программных платформ не ограничивается только требованиями к системному ПО, ФСТЭК России подготовила и требования по безопасности для средств контейнеризации и виртуализации. В 2022 году были также завершены работы по формированию требований по безопасности для СУБД и межсетевых экранов следующего поколения (NGFW).

Однако единые требования по безопасности подразумевают определённую степень общности между продуктами, а реализовать такую совместимость оказалось непросто.

Как заявил Дмитрий Шевцов, унификация необходима прежде всего для исключения монопольной зависимости от конкретных вендоров. ФСТЭК России рассматривает её как источник возможности заменить одни программные решения на другие без потери работоспособности системы в целом, что способствует развитию конкуренции, заставляет разработчиков развивать свои продукты, чтобы не быть вытесненными с рынка.

Но совместимость не возникает сама собой. У разработчиков имеется немало собственных замыслов по развитию функциональной части своих продуктов. Трудоёмкие работы по обеспечению совместимости не дают особых преимуществ.

Можно взять для сравнения развитие платформы Windows. Регулятором выступала сама компания Microsoft. Она вводила новые интерфейсы и правила взаимодействия, заставляя разработчиков обеспечивать совместимость ради продвижения своих продуктов. Подобная «независимость» стимулировала параллельное развитие других ОС.

Практика показала, что при отсутствии регулятора каждый разработчик стремится явно или косвенно монополизировать свое решение. Он оставляет за собой право решать, как обеспечивать совместимость для продуктов партнёров. ФСТЭК России считает такой подход недостаточно безопасным.

 

Рисунок 3. А. Шойтов, Д. Шевцов, Р. Лашин, А. Новодворский, В. Егоров, Р. Мылицын (слева направо)

А. Шойтов, Д. Шевцов, Р. Лашин, А. Новодворский, В. Егоров, Р. Мылицын (слева направо)

 

Разработчики об унификации

Роман Симаков, директор департамента развития системных продуктов компании «РЕД СОФТ», сразу предложил исключить термин «унификация» из обсуждения. Его поддержали практически все участники дискуссии со стороны разработчиков.

По словам оратора, всем более или менее одинаково понятен такой термин, как «стандарт». Он не вызывает разногласий — в отличие от расплывчатой формулировки «унификация», для которой у участников дискуссии нет единого толкования.

В чём преимущество стандартизации? По сути это — «договор» в ясной и понятной форме, который известен всем. Он позволяет делать различные элементы для общей платформы одновременно и независимо друг от друга. Разработчикам нет необходимости дожидаться появления «лучшей» ОС, которая получит повсеместное распространение по всей стране. Можно сразу приступать к разработке прикладного софта в своей области.

 

Рисунок 4. Компоненты российских ОС, исследуемые во ФСТЭК России в 2023 году

Компоненты российских ОС, исследуемые во ФСТЭК России в 2023 году

 

Как отметил Роман Симаков, для самой ОС Linux не существует проблемы унификации. Она является вполне зрелой системой, поэтому унификация может потребоваться только при формировании набора пакетов, который следует собрать для быстрого достижения определённого практического результата. Серьёзных проблем, по его мнению, на этом пути нет.

Трудностей, по словам спикера, следует ожидать в прикладных областях — например, для СУБД. Эти системы разрабатывались десятилетиями по различным продуктовым направлениям. Сейчас они выросли до уровня «монстров», и это необходимо менять. Но реализовать это будет очень непросто. Если для небольших прикладных систем миграция на Linux не займёт много времени, то перевод крупных разработок потребует больших усилий.

Нужны конкретные стандарты, а не общие правила

Унификация, как её представляют на стороне регулятора, скорее рассматривается как переносимость отдельных функциональных элементов, а не как их совместимость на уровне интерфейса (API). Создание интерфейса возможно в результате принятия определённого стандарта обмена данными, тогда как переносимость достигается за счёт совместной доработки элементов системы, т. е. более частным решением. Чтобы вырабатывать общие правила, необходимо создавать объединения всех участников. 

Так можно выразить мнение со стороны разработчиков. Оно опирается на опыт, который накопила отрасль, отметил Алексей Хорошилов, ведущий научный сотрудник ИСП РАН. Ещё в 1990-х гг. для Linux возникла проблема переноса данных из-за большого количества направлений развития этой ОС. Решением стал проект Linux Standard Base (LSB), который стандартизировал внутреннюю структуру системы, обеспечив, в частности, появление стандарта FHS (Filesystem Hierarchy Standard) для файлов и каталогов.

В 2000-х гг. была предпринята попытка перейти на бинарную совместимость кода для различных систем Linux. Однако эту идею поддержали не все участники. Появившиеся позднее контейнерные технологии позволили увести проблему совместимости в тень, за неё перестали бороться. «Возрождение этой идеи возможно, но её перспективность невысока», — считает Алексей Хорошилов.

Выход из создавшейся ситуации он видит в развитии механизма доверенной загрузки, которым сейчас занимается Технологический центр ядра Linux. В рамках этого направления можно обсуждать обеспечение совместимости для различных ОС и разработку соответствующих интерфейсов.

Другое направление — это создание новых интерфейсов, которые позволят унифицировать процесс взаимодействия отдельных программных подсистем. В этом направлении идёт разработка, которая даст антивирусам и песочницам возможность получать информацию о том, что происходит внутри системы.

Как отметил Валерий Егоров, заместитель директора НТП «Криптософт», «следует отличать унификацию от стандартизации. Правильно разработанный стандарт позволяет сосуществовать разработчикам работающим по разным направлениям. В то же время унификация не ведёт к созданию уникальных продуктов. Поэтому необходимо разрабатывать стандарт, а не унифицированные требования к продуктам».

 

Рисунок 5. Базовые требования ФСТЭК России по безопасности

Базовые требования ФСТЭК России по безопасности

 

Необходимость унификации

Отсутствие готовности к выработке единых правил (со стороны разработчиков), которые могли бы обеспечить унификацию выпускаемых программ, не исключает их появления на российском рынке в более узкой области. Это может быть сфера образования, отметил Ренат Лашин из АРПП «Отечественный софт».

В настоящее время ведётся разработка единого цифрового пространства в сфере образования, центральным звеном которого является федеральная государственная информационная система «Моя школа». Она призвана обеспечить равный доступ к качественному цифровому образовательному контенту и цифровым образовательным сервисам на всей территории России, предоставить возможность реализации образовательных программ начального, общего, основного общего и среднего общего образования с использованием дистанционных образовательных технологий и применением единого портала.

 

Рисунок 6. Участники (слева направо): Р. Симаков, А. Хорошилов, Д. Лукиян, Р. Аляутдин, А. Аветисян

Участники (слева направо): Р. Симаков, А. Хорошилов, Д. Лукиян, Р. Аляутдин, А. Аветисян

 

Для унификации всех продуктов сейчас ведётся разработка требований к дистрибутивам. Это позволит избежать зависимости от конкретного вендора. Но пока остаются вопросы в отношении того, как поступать с разработками под Windows. Работы по их портированию на отечественные ОС не ведутся, поэтому говорить о совместимости не приходится. Выход может состоять в создании виртуальной среды для запуска таких программ. Если они будут доступны, то можно говорить об унификации и совместимости.

Унификация как путь к технологической независимости

Стандартизация требуется прежде всего для аппаратных приложений, отметил Александр Шойтов. В то же время унификация предполагает больше гибкости. Её поддержка особенно важна на начальных этапах, когда формируется состав будущей экосистемы.

По словам замминистра, России сейчас требуется технологическая независимость, которая предполагает доверие и информационную безопасность. Свою направляющую роль государство стремится реализовать через создание единых требований по стандартизации и унификации, доверию и безопасности. Унификация рассматривается как набор требований для производителей ПО, которые смогут сами выработать общие правила обеспечения совместимости между программами.

Александр Шойтов также отметил, что государство не намерено предъявлять жёсткие требования по использованию только отечественных аппаратных платформ для российских программ.

Безопасная разработка

В 2023 году ФСТЭК России продолжает формирование новых требований по безопасности. Сейчас она ведёт работу по двум направлениям: обнаружение вредоносной активности на конечных точках и реагирование на неё (Endpoint Detection & Response, EDR) и защита среды выполнения интерпретируемого кода. «Эти направления являются важным элементом безопасности, поэтому ФСТЭК должен выработать необходимые требования и предъявлять их к российским разработкам», — отметил Дмитрий Шевцов.

Совместно с «Лабораторией Касперского» и Институтом системного программирования РАН ФСТЭК России готовит стандарт по безопасной разработке. Базовая версия будет представлена российскому экспертному сообществу на обсуждение. Затем проект поступит на рассмотрение в технический комитет № 362, отвечающий за стандартизацию по направлению «Защита информации». В состав этого ТК входят около 100 организаций, среди которых — ведущие системные интеграторы, производители решений, представители государственных и коммерческих организаций.

 

Рисунок 7. Регламенты безопасной разработки согласно требованиям ФСТЭК России

Регламенты безопасной разработки согласно требованиям ФСТЭК России

 

Пути развития

«Начать процесс унификации можно с новых мобильных сервисов, в первую очередь тех, разработку которых спонсирует государство, — считает Роман Аляутдин, директор департамента разработки ОС и сервисов компании «Открытая мобильная платформа». — Следует добиться, чтобы они были кросс-платформенными. Например, сейчас создаются мобильные сервисы, которые не совместимы ни с одной из российских систем. Их совместимость могла бы стать реальной, если провести разработку единых интерфейсов с соответствующим API».

Второе направление — это разработка прикладных инструментов для отечественных ОС. Однако на этом пути немало трудностей. Главная состоит в том, что в России нет экспертизы по разработке фреймворков. Единственной российской командой, которая ранее ею обладала, была JetBrains. Но в 2022 году её российское подразделение было ликвидировано, а других опытных команд аналогичного уровня в России нет.

Более далёкой целью может стать создание компилятора, который позволит разработчикам выпускать продукты для российских ОС. Но перспектива его появления очень туманна, поэтому пока рано говорить об этом, считает Роман Аляутдин.

 

Рисунок 8. Требования ФСТЭК России по аттестации экспертов, выдающих заключения о безопасности ПО

Требования ФСТЭК России по аттестации экспертов, выдающих заключения о безопасности ПО

 

Профессиональное объединение российских разработчиков

Идею создания профессионального объединения российских разработчиков поддержал Дмитрий Лукиян, руководитель платформенных решений на базе KasperskyOS компании «Лаборатория Касперского». Он предложил рассматривать проблему унификации российского ПО шире, чем как сугубо технологическую задачу.

«Достижение технологической независимости вовсе не является достаточным условием для развития национальной платформы. Необходимо воспитать культуру объединения. На Западе многие компании уже научились объединяться для решения совместных задач. В России подобной культуры пока нет. У каждой компании есть своё видение будущего и своя специализация. Культуру объединения надо воспитывать, тогда движение вперёд пойдёт гораздо быстрее», — заявил спикер.

Специализацию таких союзов Дмитрий Лукиян видит в новых технологических трендах, таких как создание ИИ или квантовые вычисления. Разработку иммунной ОС, которую ведёт «Лаборатория Касперского», следует, по его словам, воспринимать именно с точки зрения этих будущих направлений, а не с позиций поиска замены уже существующим решениям.

Как отметил Александр Шойтов, первую версию требований по унификации для программ ИИ должны подготовить сами разработчики. В них должны быть отражены задачи защиты информации. Обработка данных, по словам оратора, будет вестись в обезличенном виде, и для этого необходимо выработать некоторые правила согласования, которые были бы подтверждены со стороны государственных органов. Выступавший также отметил, что подобные задачи решались и ранее — например, при разработке правил унификации для криптографии. Поэтому положительный опыт уже имеется.

Выводы

Как показала дискуссия в ходе круглого стола по теме «Взаимодействие разработчиков операционных систем и прикладного ПО, проблемы унификации и способы их решения», российские разработчики пока не готовы принять необходимость обеспечить единообразие. Они объясняют это отсутствием чётких требований со стороны ФСТЭК России, которые определяли бы, что именно им нужно соблюдать. Регулятор рассчитывает создать их путём консультаций с разработчиками и призывает последних к поддержке.

Пока более или менее ясно выглядит только развитие требований связанных с безопасностью. ФСТЭК России продолжает проработку соответствующих документов по разным прикладным направлениям. Разработчики считают, что унификация будет формироваться «автоматически» благодаря использованию существующих стандартов. По другим направлениям они призывают создавать новые.

Пока нет ясности в отношении того, как будут развиваться отечественные стандарты по направлениям ИИ и квантовых вычислений. Одним из путей может стать создание отечественных ассоциаций по этим проблемным направлениям.

Полезные ссылки: 
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru