3 сентября 2025 г.
Продолжение. Начало здесь
ОС на базе ядра Linux, да ещё полагающиеся на глобальные репозитории с открытым кодом, нередко критикуют за «вторичность», «заведомую уязвимость к сознательно внедряемым в код закладкам/эксплойтам», «отсутствие собственного вектора развития» и т. п. Есть ли, на взгляд наших экспертов, в этой критике здравое зерно?
Так, да не так
Ирина Назаренко, директор «Инферит ОС», справедливо указывает на то, что решения open source стоит рассматривать не как готовый продукт, а как фундамент для построения необходимого функционала: «В ряде случаев критика их использования имеет основания, но нельзя отрицать главное достоинство — они позволяют существенно сократить дорогостоящее время разработки по сравнению с созданием решения „с нуля“. Успешное и безопасное внедрение собственных разработок требует тщательного аудита потенциальных уязвимостей исходных open source компонентов и систематической работы по отслеживанию и устранению возможных угроз».
«Критика открытых операционных систем на базе Linux часто основывается на мифах и стереотипах, — убеждён Рустам Рустамов, заместитель генерального директора РЕД СОФТ. — Мы активно работаем над обеспечением безопасности нашего программного обеспечения: проводим регулярный антивирусный контроль репозиториев, развиваем методы безопасной разработки и оперативно устраняем выявленные уязвимости. Что касается заявлений об отсутствии самостоятельного развития, то важно понимать масштаб экосистемы Linux. Большинство современных серверов работают именно под её управлением, и огромное количество приложений изначально разрабатывается для Linux. Создание собственной операционной системы с нуля означало бы повторение многолетнего опыта тысяч разработчиков и компаний по всему миру. Это экономически бессмысленно и технически неэффективно».
Станислав Орлов, технический директор компании «АЛМИ Партнер», подчёркивает, что открытое программное обеспечение всё же является более понятным и прозрачным с точки зрения обеспечения безопасности и гарантий отсутствия «закладок», чем закрытое (проприетарное): «Например, волнует ли вас вопрос безопасности, когда вы в корпоративном сегменте используете Microsoft Windows, не имея доступа к исходному коду этого программного продукта? Почему при этом существует мнение, что открытое ПО более уязвимо, чем ПО, исходники которого мы никогда не видели, не анализировали и с которым не взаимодействовали? С точки зрения обеспечения максимального уровня информационной безопасности важно понимать, какое именно ПО перед нами, что оно делает и кто его писал. Поэтому мы проводим анализ этого ПО, чтобы убедиться в отсутствии уязвимых и проблемных мест. Естественно, такая работа должна вестись постоянно, потому что сегодня это может быть ПО, которое никому не интересно, а завтра в него специально внедрят бэкдор: бдительности ослаблять нельзя, иначе можно оказаться жертвой атак злоумышленников. Однако контроль за безопасностью исходного кода — это объёмная работа, требующая специальных знаний, навыков и инструментов, а значит — дорогая».
«Не все компании могут себе это позволить, — продолжает эксперт, — и поэтому либо полагаются на ПО с закрытым исходным кодом, либо рискуют, используя открытое ПО. Это, по сути, выбор между „плохим и тоже плохим, но по-другому“. Что же делать, чтобы изменить ситуацию? В нашей стране уже сделан важный шаг: под контролем ФСТЭК, по методикам, разработанным ФСТЭК, проводится проверка ПО, используемого в составе средств защиты информации для сертифицированных версий операционных систем. Существует специальный центр исследования безопасности ядра Linux, который помогает повышать безопасность ОС на базе Linux, выдаёт рекомендации по усилению защиты. Производители отечественных ОС, соблюдающие эти рекомендации, обновляющие пакеты и библиотеки в составе своих систем на сертифицированные, проходящие ежегодные проверки и аттестации, получают сертификаты соответствия ФСТЭК. Это является подтверждением высокого уровня защищённости и низкого риска наличия уязвимостей. Например, сертификат ФСТЭК на операционную систему „АльтерОС“ был получен в 2021 году, и с тех пор мы непрерывно поддерживаем высокий уровень безопасности продукта. Что можно сделать дополнительно? Я считаю, чем больше отечественных вендоров будет работать над ПО, тем меньше будет возможностей для внедрения бэкдоров. Кроме того, если специалисты будут исследовать важные пакеты, например, предоставляющие удалённый доступ или имеющие иные внешние интерфейсы, через которые возможно проведение атак, это позволит снизить риски внедрения скрытых уязвимостей и закладок в ПО».
«Наша операционная система базируется на Debian, — говорит Михаил Геллерман, директор управления операционных систем „Группы Астра“. — Однако нужно понимать, что ядро её проходит экспертизу Института системного программирования РАН. Все участники рынка объединены в сообщество под управлением Института, которое непрерывно исследует безопасность этого ядра, в том числе и мы активно участвуем в этой деятельности. Далее накладываются требования сертификации, в первую очередь к безопасности. Это и динамический, и статический анализ, исследования безопасности, поиск упомянутых „закладок“ и т. д. И этим как раз занимаемся не только мы, вендор, но и соответствующие лаборатории. По результатам целевых проверок они выдают заключение о том, что операционная система отвечает предъявляемым регулятором требованиям безопасности».
«Работа не заканчивается получением подтверждающего сертификата, — продолжает эксперт. — Существует банк данных уязвимостей и угроз, который пополняется международным сообществом и профильными игроками рынка ИБ. И если некая уязвимость будет выявлена, разработчик ОС обязан устранить её в определённый срок, иначе сертификат будет отозван. Astra Linux удостоверяет свою надёжность сертификатами ФСТЭК России (по наивысшему 1 уровню доверия — единственная в стране), ФСБ, Минобороны, а также имеет так называемый „сертификат РБПО“, подтверждающий, что в компании отлажены процессы разработки безопасного программного обеспечения в соответствии с Национальным стандартом. Кроме того, у нас действует собственная внутренняя Red Team, которая на протяжении всего жизненного цикла операционной системы выполняет анализ её безопасности, имитируя действия нарушителя для выявления слабых мест в механизмах защиты ОС. Также в 2023 году мы запустили программу Bug Bounty, главная цель которой — выявление ошибок и уязвимостей именно в тех механизмах обеспечения безопасности, которые мы активно развиваем. Сотни, а то и тысячи людей работают над тем, чтобы применение Astra Linux было доказуемо безопасным».
По свидетельству Рустама Рустамова, заместителя генерального директора РЕД СОФТ, команда разработчиков РЕД ОС ежегодно устраняет тысячи выявленных уязвимостей: «Обновления системы безопасности мы выпускаем еженедельно, обеспечивая оперативность реакции на угрозы. Специальные встроенные инструменты помогают пользователям своевременно устанавливать важные патчи и поддерживать высокий уровень защиты своей инфраструктуры».
«Согласен с тем, что дистрибутив операционной системы, основанный на чужих репозиториях, обладает и вторичностью, и заведомой уязвимостью, и отсутствием собственных векторов развития, — заявляет Алексей Смирнов, председатель совета директоров компании „Базальт СПО“. — В этой критике, несомненно, есть здравое зерно, и потому следует полагаться на свой собственный репозиторий. Мы именно так и делаем. По классификации IBM, наш репозиторий, на котором мы основываемся, — „Сизиф“, и вообще „Альт“, — является самостоятельной веткой развития Linux, начиная с 2003 года».
Соглашается с наличием определённой обоснованности в критике, которой подвергается ПО с открытым кодом, и Алексей Киселев, руководитель разработки ОС РОСА: «Если использовать внешний дистрибутив и зависеть от глобальной экосистемы, то приходится подстраиваться под чужую техническую политику. Это проще и дешевле, но не всегда гибко и безопасно, особенно в условиях меняющегося законодательства и специфики российского рынка. Мы в компании РОСА используем собственную пакетную базу и ведём самостоятельную техническую политику. Это позволяет нам контролировать вектор развития и адаптироваться под локальные реалии. Мы пересобираем ключевые компоненты системы, проверяем их на наличие закладок и уязвимостей. Такой подход помогает быть более независимыми и обеспечивать дополнительный уровень доверия».
Продолжение следует
Источник: Максим Белоус, IT Channel News
