«Инструменты: разработка и опыт применения» – так звучала тема 6-й конференции OS DAY, проводимой под эгидой Института системного программирования РАН консорциумом российских компаний – DZ Systems, «Базальт СПО», ГосНИИАС, «Лаборатория Касперского», РЕД СОФТ, РусБИТех-Астра, «Криптософт».
Структура мероприятия включала как доклады обзорные, широкого применения, так и сообщения о конкретных достижениях, выполненных проектах, крупинках накопленного опыта, которые могут оказаться интересными коллегам.
Можно предположить, что буква и дух конференции этого года задавались тем, что с лета 2019 года безопасность разработки ПО регламентируется указаниями таких нормативных документов, как «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий», утверждённые приказом ФСТЭК России от 30.07.2018 № 131, и «Методика выявления уязвимостей и недекларированных возможностей в программном обеспечении», утверждённая ФСТЭК России 11.02.2019. Этими документами закрепляются требования по применению широкого спектра методов статического и динамического анализа программного кода, эффективная реализация которых невозможна без применения соответствующих инструментальных средств.
О современном состоянии нормативной базы в сфере разработки и сертификации ПО было рассказано в докладе ФСТЭК, которым собственно и открылась научно-практическая её часть после слов приветствий со стороны организаторов.
После сообщения регулятора докладчик от ИСП РАН представил обзор современных подходов к «написанию» программ и методов автоматического анализа кода и способов их применения для обеспечения качества программных продуктов.
Интересной особенностью той части доклада ИСП РАН, что касалась этапов разработки «безопасного» ПО, явилось отсутствие в явном виде на слайдах терминов «информационная безопасность» и «кибербезопасность», но доминирующее присутствие на них всей другой терминологии, которая обычна для «ибэшных» конференций.
Разработка требований безопасности, оценка рисков безопасности, анализ поверхности атаки, моделирование угроз, тесты на проникновение – эти и прочие термины на равных соседствовали с «общей» терминологией из сферы программирования и контроля качества кода.
Во второй части доклада был приведён детальный обзор методов автоматического анализа программ и методологии их применения для обеспечения качества ПО. Информацией для размышления может послужить тот факт, что, например, проведённое в США сравнение результатов статического анализа кода двумя разными инструментами дало лишь 20% совпадений. Выводы о качестве инструментария можно сделать самим. «А ведь этот ещё из лучших» (с), как писалось в известном романе Дюма.
Далее Александр Попов, представитель Positive Tecnologies, дал обзор текущего состояния безопасности ядра Linux и представил инициированный им проект по разработке и ведению карты средств защиты ядра Linux. Последняя отражает взаимосвязи между классами уязвимостей, техниками их эксплуатации для проведения атак, механизмами выявления ошибок, технологиями защиты. «Цитатой дня» этого доклада можно считать заявление о том, что выявляемое количество уязвимостей ядра Linux растёт темпами, опережающими темпы создания улучшений этой операционной системы.
Ещё одним докладом, затрагивающим «общие» интересы сообщества, стало сообщение о том, как можно быстро и успешно решить задачу криптозащиты на основе национальных стандартов. Дмитрий Белявский из компании «Криптоком» рассказал о том, как сделать это, опираясь на уже существующие популярные Open Source ресурсы и библиотеки. «Никогда не пишите криптографию сами», – это «цитата дня» Дмитрия Белявского.
Решение важной задачи по созданию модели управления доступом к электронным документам компьютерных систем, обеспечивающей выполнение требований контроля целостности и конфиденциальности, представил Александр Козачок (Академия ФСО России). И решил эту задачу автор методом, с которым широкие круги ИТ-общественности не слишком знакомы – был выбран язык темпоральной логики действий Лэмпорта, «поскольку его нотация представляется наиболее близкой к общепринятой математической, выразительные возможности и инструментальные средства позволяют описывать и верифицировать системы, заданные в виде конечных автоматов» (с).
Помимо упомянутых сообщений, слушатели конференции познакомились с опытом ООО «РусБИТех-Астра» по применению инструментальных средств для сертификации Astra Linux Special Edition по высоким классам защиты; с разработкой НТП «Криптософт» отладчика PathFinder для анализа исполнения гипервизором кода виртуальных машин и рядом других достижений отечественных компаний в части автоматизации тестирования ПО и его сборки для работы на отечественных аппаратных средствах.
Всё это позволило конференции OS DAY подтвердить свою репутацию удобной площадки для продуктивного сотрудничества российских специалистов системного программирования и разработчиков операционных систем, поиска ими точек соприкосновения для совместной деятельности.
Николай Кольский
.jpg)
.jpg)
.png)