Журнал "Information Security/ Информационная безопасность" #3, 2023

Необходимы модели работы, которые консолиди- руют усилия академическо- го сообщества, бизнеса, государства и создают воз- можность совместной рабо- ты над огромным объемом открытого кода, на основе которого создается боль- шинство ИТ-продуктов. На базе ИСП РАН функ- ционирует созданный при поддержке ФСТЭК России Технологический центр исследования безопасности ядра Linux, где ведется систематический поиск уязвимостей и подготовка соответствующих патчей. Идет работа над создани- ем доверенного репозито- рия базовых компонентов открытого системного ПО. ниях (например, Samsung Elec- tronics), так и более чем в 100 отечественных ("Лаборато- рия Касперского", "Код безопас- ности", "РусБИТех", "Базальт СПО", СберТех и др.). Из последних разработок стоит упомянуть инструмент Natch для определения поверхности атаки, который разработан уже с учетом сертификационных требований ФСТЭК России. На базе всего этого опыта в 2018 г. мы инициировали создание в России новой научной специ- альности ВАК "Кибербезопас- ность", которая была одобрена РАН и принята Минобрнауки в 2021 г. при поддержке ФСТЭК России и крупного бизнеса. Однако одного только нали- чия инструментов безопасной разработки недостаточно. Необходимы модели работы, которые консолидируют усилия академического сообщества, бизнеса, государства и создают возможность совместной рабо- ты над огромным объемом открытого кода, на основе кото- рого создается большинство ИТ-продуктов. Совместный ана- лиз кода с помощью инстру- ментов безопасной разработки позволяет, в частности, избе- жать дублирования работ, кото- рое происходит, когда сотни компаний параллельно прове- ряют на безопасность один и тот же код, тратя на это большие человеческие и финансовые ресурсы. Одну из таких моделей рабо- ты реализует наш институт совместно с партнерами при поддержке регулятора. На базе ИСП РАН функционирует соз- данный при поддержке ФСТЭК России Технологический центр исследования безопасности ядра Linux, где ведется систе- матический поиск уязвимостей и подготовка соответствующих патчей. В настоящее время этот Центр расширяется, в него добавляются исследования кри- тичных компонентов операцион- ных систем. Фактически идет работа над созданием доверен- ного репозитория базовых ком- понентов открытого системного ПО. Сейчас в этом процессе при- нимают участие более 50 ком- паний, частично они уже объ- единились в консорциум. В работе над репозиторием при- нимают участие и некоторые вузы (в том числе региональ- ные, например Чувашский госу- дарственный университет); поиском уязвимостей зани- маются также студенты кафедр системного программирования МГУ, МФТИ и ВШЭ, где препо- дают сотрудники ИСП РАН. Результаты исследований открыты и доступны всем участ- никам консорциума. В той же модели ведутся работы в Иссле- довательском центре доверен- ного искусственного интеллекта ИСП РАН (создан по инициати- ве Минэкономразвития России). Результаты деятельности этих центров уже есть: около 200 патчей приняты в основную ветку ядра Linux, более 50 – в популярные фреймворки машинного обучения TensorFlow и PyTorch. Подчеркну: это исправления ошибок, которые до нас не находил еще никто в мире! Вокруг доверенного репози- тория создаются профильные образовательные программы, формируется широкое сообще- ство профессионалов, которые работают в разных компаниях, обучаются в вузах, даже живут в разных юрисдикциях, но при этом решают общие задачи, связанные с безопасностью систем. Насколько это позво- ляет экономить ресурсы, можно понять на простом примере. Сейчас продукты на основе ядра Linux создают более 200 российских компаний. При этом большинство из них само- стоятельно проверяют код на безопасность. Между тем целе- сообразнее было бы перейти от конкуренции к кооперации и вместе работать над повыше- нием безопасности ядра. Хочу еще раз подчеркнуть, что вся эта работа – и создание инстру- ментов, и формирование репо- зитория – ведется в тесном сотрудничестве с ФСТЭК Рос- сии. В частности, институт является Центром компетенции по вопросам безопасной раз- работки и анализа кода серти- фицируемого программного обеспечения. Учитывая весь наш опыт, основанный на консолидации усилий со стороны академиче- ского сообщества, государства и бизнеса, мы подготовили к реализации комплексный научно-технический проект (КНТП), которому дал положи- тельную оценку профильный Экспертный совет по приори- тетному направлению Страте- гии научно-технологического развития России. Надеемся, что в ближайшее время КНТП будет запущен. Его реализация обес- печит дальнейшее гармоничное развитие сформировавшегося сообщества и сохранит конку- рентоспособность отечествен- ных инструментов безопасной разработки. При необходимости эту модель работы можно будет существенно масштабировать за счет запуска дополнительных проектов, что обеспечит долго- срочное устойчивое развитие всей отрасли ИТ в России и конкурентное преимущество нашим компаниям. l • 47 Безопасная разраБотка www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru