LINUX.ORG.RU

РФ потратит 300 млн. рублей на оценку безопасности ядра Linux

 , ,


0

1

Предмет контракта: Выполнение работ по созданию технологического центра исследования безопасности операционных систем, созданных на базе ядра Linux, включая разработку проектной (технической) документации и создание программно-аппаратного комплекса центра исследования безопасности операционных систем.

Дата начала исполнения контракта: 01.04.2021 Дата окончания исполнения контракта: 25.12.2023

Заказчик: ФСТЭК России (Федеральная Служба по Техническому и Экспортному Контролю)

>>> Подробности

★★★★★

Проверено: pon4ik ()

РФ потратит 300 млн. рублей на оценку безопасности ядра Linux

Готов на правах анонимного аналитика заявить, что в линуксе с безопасностью всё зашибись за тридцать миллионов (десять мне, двадцать заказчику) и тем самым обеспечить любимой Родине бюджетную экономию в 90% цены тендера.

dogbert ★★★★★ ()
Последнее исправление: dogbert (всего исправлений: 1)
Ответ на: комментарий от dogbert

В случае, если это не так, и через верифицированный для работы с гос.тайной лично тобой линукс поимеют какое-нибудь ФСБ, готов чтобы тебя потом поимело всё ФСБ персонально, за ту подпись, которую поставил на соответствующем заключении?

Нет, остроумно шутить - это конечно все всегда за, но мрачным дядям в погонах нужна бумага, на которой написано, что все проверено, подписью/штампом заверено и кого иметь в случае, если проверено плохо.

SkyMaverick ★★ ()
Ответ на: комментарий от pon4ik

Не два, а почти три, и ещё надо учитывать стоимость оборудования (не в облачках же всё держать), аренды недвижимости, операционные расходы юрлица, налоги, не говоря уже о том, что квалифицированные ядерные погромисты не по рублю пучок. На всё про всё по 10М/мес - да это копейки, как не посмотри. За такие деньги это разве что побочка для какого-нибудь Базальта - донанять пять человек, выдать им отдельное помещение и проверять время от времени, не покрылись ли мхом.

anonymous ()
Ответ на: комментарий от Logopeft

Ну, насколько мне известно по словам пары знакомых людей оттуда, в случае серьёзных (подчёркиваю) факапов, а утечка секретки - серьёзный факап, в таких ведомствах говорят уже не о суммах, а о сроках и количестве посадок.

SkyMaverick ★★ ()
Ответ на: комментарий от anonymous

Ну я примерно в том же ключе, если только зарплатный фонд, то ещё куда ни шло, но по-факту, требуют открыть центр, а люди там это конечно большая часть бюджета, но не 2/3 наверное даже.

Хотя, всё сильно зависит от формулировки, плюс какой-то промежуток времени просто не выйдет нанять сразу большую команду. Но, интуитивно всё равно кажется маловато, тем более если почти на 3 года.

pon4ik ★★★★★ ()

а ты посчитай сколько на этих эльбрусе/байкале бабла распилили, учитывая, что реклама у неполживых блоггеров дохерища стоит. а так: ну допусти наняли они 10 специалистов, платят им по 120.000 в месяц. это 14,5 млн в год + налоги с их зарплат 40% сверху. уже 20 миллионов, а еще аренда помещений, свет, оборудование, это еще с десяток миллионов. эта сумма кажется огромной только при поверхностном взгляде, епта. там, конечно, и не 10 специалистов было, а больше, какой-нибудь отдел создавали под это дело… Часть денег МОЖЕТ и разворовали, но большую часть так сказать пустили в дело. Тут вопрос, скорее, в неэффективном расходовании средств, в том, что эти эксперты не соответствуют своим занимаемым должностням и, возможно не проводили никакого глубокого анализа, можно было на аутсорс вынести все. Вот если бы заключение этих экспертов на 10.000 страницах опубликовали…

tz4678 ★★ ()
Ответ на: комментарий от dogbert

Готов на правах анонимного аналитика заявить, что в линуксе с безопасностью всё зашибись за тридцать миллионов

С безопасностью там вовсе всё не зашибись: https://events19.linuxfoundation.org/wp-content/uploads/2017/11/Syzbot-and-th...

Да, материал староват, но общая картина так быстро всё равно не поменяется.

runtime ★★★ ()
Ответ на: комментарий от runtime

ты какую-то херню кинул. критические уязвимости - это типа повышения привелегий до рута обычным пользователем. например, через дырявые пхп недоCMS (типа быдлобитрикс) повышаешь www-data до root и творишь беспредел. разные же баги, когда у тебя что-то отваливается, да хер с ними. и еще линукс - это набор скриптов, написанных какими-то васянами, т.е. что-то буквально собранное из говна и палок. все что не относится к ЯДРУ, стандартному набору GNU Coreutils, systemd ‒ это не баги Линукса, coreutils тот же и systemd и то опосредованно к нему относятся. не понятно как они там аудит производят и операционной системы под названием «Linux» попросту не существует

tz4678 ★★ ()

РФ потратит 300 млн. рублей на оценку безопасности ядра Linux

- 2 человека для контроля ядра (эксперт и помощник), офис 20м2, уборщица, системный администратор, со знанием ВинХП и умением заправлять принтер.

- Бухгалтер, завхоз.

- 4 человека для контроля тех, кто контролирует ядро, 1 водитель, т.к. офис небольшой и все там не поместятся.

- 2 бухгалтера, 2 завхоза для контролирующих.

- 1 человек для контроля работы уборщицы + 1 консультант по санитарным нормам.

- 16 человек для контроля контролирующих + 8 внештатных помощников.

- 1 человек для контроля качества еды в столовой + хим. лаборатория.

- 2 человека для контроля работы водителя, 2 эксперта по з/п, 1 по ГСМ.

- Независимая экспертиза качества уборки помещения, еды и ремонта а/м.

- Контроль независимых экспертиз.

И так далее...

Это очень маленькие деньги. Как бы не пришлось отказываться от услуг помощника по безопасности ядра.

anonymous ()
Ответ на: комментарий от kostyarin_

Не, ну строительство здания в этот бюджет явно не входит, либо аренда либо е-тись сами как хотите, в падике там собирайтесь например, или удалёнка.

pon4ik ★★★★★ ()
Ответ на: комментарий от pon4ik

Вот говорят попил, попил, а тут 300млн на 2 года… Считай за еду.

Это только на создание центра, т.е. наймут пару программистов доки писать и компы им закупят. Но независимый аудит это же хорошо, помогут баги в ядре пофиксить.

KillTheCat ★★★★★ ()

Если глянуть в прошлое

Федеральная служба по техническому и экспортному контролю (ФСТЭК России) выдала сертификат соответствия операционной системе RedHat Enterprise Linux 4, функционирующей на серверной платформе IBM Systems.

Они уже выдавали сертификаты. Видимо за плату. И безо всякого центра. Тогда центр для чего?

IBM сертифицировала RedHat в ФСТЭК

kostyarin_ ★★ ()
Ответ на: комментарий от Daedalus

В ядре линукса 30 миллионов строк было год назад. Это примерно 100.000*8 человеко-часов (при написании по 300 строчек кода в день и то в каких-то идеальных условиях). Так-то за миллиард рублей все-таки можно было бы написать свой линупс.

tz4678 ★★ ()

Какой желтушный заголовок.

Выполнение работ по созданию технологического центра исследования безопасности операционных систем,

Т.е. оснастить мебелью/оборудованием, нанять работников от уборщицы до дира, создать программно-аппаратный комплекс. 300 лямов не так уж и много. Даже если помещение будет выделено самим ФСТЭКом. Подробнее тут

drfaust ★★★★★ ()
Ответ на: комментарий от anonymous

ставка на линукс чтоб самим нихера не делать.

гпл и национальная ос несовместимы.

конечно проще нихуя не делать – стрич купоны. зачем мучиться, если чужой код уже работает.

anonymous ()
Ответ на: комментарий от SkyMaverick

В случае, если это не так, и через верифицированный для работы с гос.тайной лично тобой линукс поимеют какое-нибудь ФСБ, готов чтобы тебя потом поимело всё ФСБ персонально, за ту подпись, которую поставил на соответствующем заключении?

Напомню, что AstraLinux той же фстэк сертифицирован по 1 высшему классу защиты, а там и ядро между-прочим

anonymous ()
Ответ на: комментарий от kostyarin_

Интересно где они будут публиовать информацию о имеющихся дырках, когда это центр заработает.

Они их засекретят, собственно по смыслу оно уже минимум под ДСП подпадает

anonymous ()