LINUX.ORG.RU

РФ потратит 300 млн. рублей на оценку безопасности ядра Linux

 , ,


0

1

Предмет контракта: Выполнение работ по созданию технологического центра исследования безопасности операционных систем, созданных на базе ядра Linux, включая разработку проектной (технической) документации и создание программно-аппаратного комплекса центра исследования безопасности операционных систем.

Дата начала исполнения контракта: 01.04.2021 Дата окончания исполнения контракта: 25.12.2023

Заказчик: ФСТЭК России (Федеральная Служба по Техническому и Экспортному Контролю)

>>> Подробности

★★★★★

Проверено: pon4ik ()
Последнее исправление: xaizek (всего исправлений: 2)

Ответ на: комментарий от anonymous

Ну так ФСТЭК и отвечает за то что она сертифицировала. Сейчас, как я понял, ФСТЭК хочет создать отдельный центр, который будет централизовано заниматься именно linux, как основой отечественных ОС и проводить их проверку/сертификацию и т.д. (ну в техзадании написано, что конкретно), а не выдавать это сторонним подрядчикам.

SkyMaverick ★★★★★
()
Ответ на: комментарий от SkyMaverick

В случае, если это не так… готов чтобы тебя потом поимело всё ФСБ персонально…?

Это ответственность прописана в госконтракте?

anonymous
()

@xaizek прийди, порядок наведи. Можно в этом треде грохнуть всех полоумков с советскими расстрелами, ДНК и расчётами кто сколько ссыт?

system-root ★★★★★
()

ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ

ЭКСПОРТНОМУ

Вообще-то ИМПОРТНЫМ Linux должна заниматься Таможенная служба. Или все таки уже Linux присвоили?

anonymous
()

Не только ядра, но и всей системы. Естетственно не только ядра дырявые. Но и сама ОС, да и пользователи тоже.

One ★★★★★
()

Бабло, распиленное на предыдущих сертификациях, распилено и даже опилки перегнали на самогон. Несите новое.

gns ★★★★★
()
Ответ на: комментарий от pon4ik

Ну так времена нынче тяжелые пошли. Дворцы построили, теперь на хлебушек с маслицем хватило бы...

gns ★★★★★
()
Ответ на: комментарий от KillTheCat

На создание центра - звучит ооочень долго и без проекта(читай бюджета, т.к. делать явно будут те же люди) на развитие и поддержание, бесполезно.

Но исполнитель кста на первый взгляд не такой уж и бесполезный выбран не? Я про эту контору в первый раз услышал, ничего про них не знаю.

pon4ik ★★★★★
()

Если итоги оценки будут общедоступные, комплексные (а не «всё ок» или 2 слайда), то отлично.

shpinog ★★★
()
Ответ на: комментарий от anonymous

На всё про всё по 10М/мес - да это копейки

Это 20-30 ЗП спецов. Для «оценки» там 3 года делать такому количеству нечего. Понятно, что требуются капитальные вложения, но они играют роль лишь в начале, дальше они несущественны. Так что сумма вполне адекватная, и уж точно не «копейки».

Понятное дело что под «оценкой», там понимается далеко не полный аудит всех исходников ядра.

shpinog ★★★
()

все правильно делают. давно пора.

anonymous
()

300М это зарплата 50 программистов за 2 года, то есть довольно таки мало. Хотя это лучше, чем совсем ничего, так как к безопасности ядра Linux есть вопросы: кода много, целенаправленно его в России никто не исследовал до сих пор, ограничиваясь всякими отмазками про триллионы глаз, которые смотрят в код.

siraenuhlaalu
()
Ответ на: комментарий от tz4678

DirtyCow эпичнейший эксплойт ядра был. Но реально гении смогли его создать.
И совершенно непонятно как недопустить такого в дальнейшем.

anonymous
()
Ответ на: комментарий от tz4678

Так-то за миллиард рублей все-таки можно было бы написать свой линупс.

Ерунду написал. Ядро линукса куда больше стоит.
+ дело же не только в деньгах, попробуй найти людей которые что-то нормальное смогут родить.

anonymous
()
Ответ на: комментарий от anonymous

можно бы было какую-нибудь типа опенс сорс площадку сделать и всем желающим за принятые коммиты платить

tz4678 ★★
()
Ответ на: комментарий от SkyMaverick

Чисто по практике — всем наплевать. То есть может где-то секретная секретка и существует, но обычно это формальность, вызывающая лишь редкое возбуждение в похмельных мозгах первого отдела.

spqr ★★★
()
Ответ на: комментарий от shpinog

Понятное дело что под «оценкой», там понимается далеко не полный аудит всех исходников ядра.

Не хочу Вас огорчать по поводу того, что исходники там вообще кто-то будет смотреть. Например RedHat уже проходила на класс 1Г в 2006-ом. А что значат эти классы можно глянуть вот в шпаргалке например. Типа должна быть кнопка «вход», пароль вводить и т.д.

kostyarin_ ★★
()
Ответ на: комментарий от noname_user

Первый адекватный коммент тут

anonymous
()
Ответ на: комментарий от tz4678

можно бы было какую-нибудь типа опенс сорс площадку сделать и всем желающим за принятые коммиты платить

Это сложнее чем кажется. И непонятен смысл затеи, когда линукс он вот он, уже есть.

anonymous
()
Ответ на: комментарий от spqr

Чисто по практике — всем наплевать

Ну я не спорю, что местами требования у нас сильно преувеличены и на них всем положить. Но есть МО, ФСБ, СВР и прочие ведомства где секретка таки секретка, а не банальное ПДн 3-группы. За первую группу (здоровье) уже серьёзно имеют, да и за вторую тоже (биометрия), впрочем.

Как я понял, вот это все, что в новости, нужно, если требуется уровень защищённости системы УЗ1/2 (таблица). Для секретки сертификацию ещё и ФСБ осуществляет, но в первую очередь всё равно ФСТЭК.

SkyMaverick ★★★★★
()

Заказчик: ФСТЭК России (Федеральная Служба по Техническому и Экспортному Контролю)

Так там должен быть внутренний штат для таких работ. Контролирующий орган должен быть компетентен иначе какой смысл?

anonymous
()
Ответ на: комментарий от anonymous

судя по тому, что божественная 10-точка так и не получила сертификат, 7-ка умерла и вот-вот помрет 8.1, а винду уже запрещают юзать даже институтам (привет бауманке), то видимо вверху кто-то опять задумал очередной вендикапец в гос. секторе… а вот эта новая структура будет отвечать за безопасность массового сваливания на линукс…

anonymous
()
Ответ на: комментарий от anonymous

Так там должен быть внутренний штат для таких работ. Контролирующий орган должен быть компетентен иначе какой смысл?

Всё есть - читаем «тут» РФ потратит 300 млн. рублей на оценку безопасности ядра Linux (комментарий)

drfaust ★★★★★
()
Ответ на: комментарий от L29Ah

Да не такой уж тут большой и бюджет на самом деле, чтоб так напрягаться.

Во-вторых, тут ещё большой вопрос, чем заинтересовать ту другую страну, потому что она внезапно может решить, что профит от тебя для неё меньше, чем геморрой, который РФ доставит, требуя выдачи. Собственно, примеров не так чтобы мало.

SkyMaverick ★★★★★
()

создание программно-аппаратного комплекса центра исследования безопасности операционных систем

Это вид лапши, или о чем речь?

anonymous
()
Ответ на: комментарий от anonymous

создание программно-аппаратного комплекса центра исследования безопасности операционных систем

Написали бы «создание программно-аппаратного комплекса исследования безопасности операционных систем» что ли.
Зачем еще слово центр вставили в фразу?
О чем речь?

anonymous
()
Ответ на: комментарий от anonymous

Это вид лапши, или о чем речь?

Ну неужели лень пройти по ссылке в самой новости и почитать требования? РФ потратит 300 млн. рублей на оценку безопасности ядра Linux (комментарий) - уже третий раз привожу ссылку на ентот документ. Просьба обраить внимание на пункты 3.1.1 и 3.1.2

drfaust ★★★★★
()

Ok. ЛОР торт. =)))

А то я уж волновался… =)))

Ok. Шутка про «пилы» была? Значит, специалистов, выпускников Лесотехнического колледжа (спецов по пилам, распилам и попилам) мы заслушали.

Детонация у «калек» (я в курсе как пишется слово «коллег», я о калеках) с сопредельных территорий откуда-то так же зафиксирована.

Про «беременных пенсионеров» тему решили заменить на обустройство городов и весей…

Никого не напрягло то, чо в своё время NSA (ага, то самое АНБ) создало подсистему SELinux на деньги американских налогоплательщиков и в 2004г. компания Symantec проверяла опенсоурсные коды порядка 250 пакетов, всего ~55млн. строк кода за смешных 1.4 лярда «вечнозелёных» дохлых президентов. Да, лучше бы беременным пенсионерам раздали… Впрочем, это не сюда. Да. =)))

В общем, ещё ни байта не верифицировали, а первые жертвы уже есть… =)))

===

Ладно. Если шутки в сторону, то получается что государство Российское порешило проверить чё там интересного в ядре сыщется и поручило работу Институту системного программирования Российской Академии Наук, т.е., тем же людям, которые создавали/верифицировали реализацию той системы безопасности, которая уже интегрирована в ядро AstraLinux. Правда, работали там не только специалисты ИСП РАН, а ещё и некая компания "АО «Русбиттех» и ФСБ, но кого это напрягает?

По сути, оговорённая сумма это чисто на зарплату если. Года на три. И не более.

Но да, ЛОР торт! =)))

P.S. Скорбные умишком не понимают что «центр» нужен для того, что это процесс итерационный. Я про анализ ядра. Просто потому, что процесс программирования это как правило процесс замены одних ошибок на другие. И не факт что с уменьшением числа ошибок. И верифицировать надо каждую новую версию.

Напрягает что только на три года. Что потом?

Moisha_Liberman ★★
()
Последнее исправление: Moisha_Liberman (всего исправлений: 1)
Ответ на: Ok. ЛОР торт. =))) от Moisha_Liberman

но кого это напрягает?

Ничуть. Если я сижу за «сертифицированным» «майором» компом на работе - да пожалуйста.

Дома мне никто ни Астру ни что-либо другое втюхивать не вправе - сижу на своём арче/генту/LFS - и в ус не дую.

Почему такая паника? Сертификация нужна для госконтор, обсл. предприятий (электроэнергия города, тепло, транспорт и т.п.) - в ОООшке «Рога и Копыта» как сидели на 7ке/10ке ломаной со всеми зондами от АНБ и пр «троянчиков из ломалки» - так пусть и сидят…

drfaust ★★★★★
()
Ответ на: комментарий от anonymous

А кто «разевает»?

Пояснил, не умеющим ходить по ссылкам и читать документы анонимусам, что там далеко не так просто вставили слово «центр».

drfaust ★★★★★
()
Последнее исправление: drfaust (всего исправлений: 1)
Ответ на: комментарий от drfaust

Пояснил, не умеющим ходить по ссылкам анонимусам, что там далеко не так просто вставили слово «центр».

Спасибо за разъяснение.

anonymous
()

Рад за Linux.
Через четыре года он станет безопасным.

anonymous
()
Ответ на: Ok. ЛОР торт. =))) от Moisha_Liberman

Между прочим, мне известно о попытках независимых частных компаний всякого разного назначения, искать ошибки в Linux. И говорят они их там находят, которые могут быть уязвимостями, но чтобы кто то явно там подляну оставлял - ну не знаю, не слыхал

Вопрос доверия проверяльщикам, как своим и чужим

I-Love-Microsoft ★★★★★
()
Ответ на: комментарий от kostyarin_

На одной странице более подробно заявлены цели, есть шанс на лучшее.

shpinog ★★★
()
Ответ на: комментарий от drfaust

Да люди просто не хотят понимать...

что у всего есть своя мера ответственности. А с программистами вообще беда – детишки с длинными ху… «членами» на лужайке. Кругом лютики-цветочки и единороги с поняшками.

Они по своим дырявым локалхостам другие системы судят.

Moisha_Liberman ★★
()
Ответ на: комментарий от I-Love-Microsoft

Можете смело на 1 увеличить.

Между прочим, мне известно о попытках независимых частных компаний всякого разного назначения, искать ошибки в Linux.

Да, для меня лично (и как частного/физического лица и как юридическое лицо) такого рода попытки представляют определённый интерес.

И говорят они их там находят, которые могут быть уязвимостями, но чтобы кто то явно там подляну оставлял - ну не знаю, не слыхал

Для простоты считайте что мнение, широко распространённое в определённых узких кругах о том, что любой софт и железо имеют либо недостатки в дизайне, либо недостатки в реализации, либо вовсе закладки. Я с этим мнением всецело согласен, т.к. повидать довелось и, скажем так, многое.

В данном случае меня радует то, что есть попытка как минимум минимизировать риски. Причём, попытка явно организованная и говворящая о том, что вектор ПО смещается в сторону СПО (в России по крайней мере).

Пожалуй, это лучше, чем когда Заказчик делает «свинцовое лицо» (читайте «харю кирпичом») и на все вопросы типа «а как же эти… как их… санкции» отвечает коротко и ёмко – «а у нас виндоуззз».

Moisha_Liberman ★★
()

Ох уж эта «РФ» с её «цифровизацией»

Конечно, вместо того чтобы исправлять пешеходные дороги, представляющие собой на 99% территории страны смесь из грязи, талой воды и давленных собачьих сюрпризов, исправить километры депрессивных серых разваливающихся коробок, где ютятся люди с детенышами, выглядывая из окон как из портала в ад, исправить застраивание 50-этажными небоскребами посреди поля из грязи, исправить плодящиеся ларьки микрозаймы-пивнуха, исправить какие-то чадящие выбросами на весь город заводы, и т.д., и т.п., проще сидеть жепью в кресле и тыкать в блокиратор сайтов или переименовывать СПО в скрепные названия.

anonymous
()

Выполнение работ по созданию технологического центра исследования…

Бугагага, это как? В нормальном мире госконтрпакты заключаются на выполнение работ, а не создание каких-то организаций, структур. В общем, очередной попил, это очевидно.

anonymous
()
Ответ на: комментарий от SkyMaverick

Можно стать геем-экстремистом и получить уебжище, нет? Алсо, французский иностранный легион уже отменили?

L29Ah
()

создание программно-аппаратного комплекса

как всегда закупят системные блоки на базе селерона со встроенной графикой, мышкой, клавиатурой и монитором в ДНС, установят туда Ubuntu LTS.

bhfq ★★★★★
()
Ответ на: комментарий от anonymous

Аааа... Ну да... =)))

Детектор чините. =)))

Всё-таки наличие препуция должно быть объязательным условием госслужбы.

С госслужбы я уволился (погоны снял) ещё когда Вас, скорее всего и в Госплане не было, хотя Госплан тогда ещё был.

Ну а по форумному нику делать вывод о нацпринадлежности, это ваааще уже не смешно. Карму мне по аватарке не подиагностируете заодно? =)))

Если не дошло и Вы продолжаете думать что в паспорте у меня написано «Мойша Либерман», то наверное хреново Вам живётся с надписью в паспорте «anonymous»? =)))

Moisha_Liberman ★★
()
Ответ на: комментарий от bhfq

как всегда закупят системные блоки на базе селерона со встроенной графикой, мышкой, клавиатурой и монитором в ДНС, установят туда Ubuntu LTS.

По цене макбуков. Это уж, как водится😂😂😂

anonymous
()
Ответ на: комментарий от bhfq

как всегда

Пруф.

на базе селерона со встроенной графикой, мышкой, клавиатурой и монитором в ДНС, установят туда Ubuntu LTS

Пруф.

Хотя о чем это я, какие пруфы могут быть у балаболов с лора.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.