Мосбиржа допустила к торгам акции группы компаний «Астра»

Первый отдел, плакаты «Не болтай», общая подозрительность - стучите! - и тщательные проверки всех по линии МВД/ФСБ.

Как это помогает защите от эксплуатации уязвимостей в LAN ?

… когда минобороны по-сути отказалось от развития МСВС…

На юниксфоруме об этом интересные вещи пишут:

Плюс, фактически, МСВС разрабатывалась под МО, и, как я понимаю, де-юре (ну в трактовке по нашему законодательству и по ГОСТам) принадлежит МО. Так уж получилось, что если ты вписываешься в контракт на разработку и поставку, то права на то, что ты разработал, - они принадлежат заказчику разработки. А заказчик, как я уже выше писал, честно считает, что софт не ломается от времени и не устаревает. И не торопится подписывать решение о модернизации и выделении бабла.

… уважаемые начальнички на голубом глазу сообщают, что «обновления ПО и железа придумали наши заокеанские партнёры, чтобы парализовать МО ненужной работой».

Так уж получилось, что если ты вписываешься в контракт на разработку и поставку, то права на то, что ты разработал, - они принадлежат заказчику разработки.

Получатель исключительных прав может быть указан в условиях контракта и это вовсе не обязательно заказчик.

Кроме того, если софт лицензируется кому-либо под свободными лицензиями, то лицензиату обычно несложно форкнуть такой софт и развивать далее уже независимо от оригинальных разработчиков и/или протестов исключительного правообладателя (в т.ч. в виде какого-либо юридического лица и т.п.) вне зависимости от того, кто является исключительным правообладателем.

Ну именно так. На этом, собственно, и застопорился переход с ядра 2.4 на 2.6. Дальнейшее развитие и апдейты минобороне были не нужны. Типа сертифицировали — ну и работает. А для прапорщика выдать со склада пару сапог или диск с МСВС — это одинаковые действия. А что такое принять и оприходовать диск с апдейтами и разослать его по всем частям — это минобороне не ведомо.

А главное, любой апдейт — это новая сертификация.

Кто последний ?

Получается, опять хотят прихватизировать то, что плохо лежит?

…тот смеётся.

Кто последний - тот и папа

Получается, опять хотят прихватизировать то, что плохо лежит?

По крайне мере по слухам хотя бы предоставляют сорцы, но как-бы намекают, что делать от них паблик форки не стоит:

Интересно, а почему не любят пользователи LOR дистрибутивы родом из СНГ? (комментарий)

Вопрос:

А если в NDA проприетарного дистрибутива есть какие-то более серьезные санкции, наложенные даже на текущую версию GPL сорцов, уже полученных клиентом, а не только на будущие версии - это ведь уже IMHO нарушение GPL?

Ответ:

Тут можно только фантазировать. Я NDA не подписывал, меня просто попросили не передавать тем, у кого нет лицензии.

Судя по условиям лицензии на дистрибутив, NDA наверно даже лишний для усиления ограничений?

Я пока не изучал вопрос, что такое вообще лицензия на дистрибутив, и как она совместима с лицензиями включённого в него софта. Интересно, у Debian вообще есть какая-нибудь лицензия (кроме как на его custom пакеты). Я видел лишь очень длинный список свободных лицензий софта, включённого в дистрибутив Debian и некий социальный контракт (вероятно, оферта):

https://www.debian.org/social_contract

Derived Works

3. The license must allow modifications and derived works, and must allow them to be distributed under the same terms as the license of the original software.

Ну уверен, насколько это совместимо с условиями лицензии Astra?

Нет. Если чувак считает износ основных фондов индикатором отсутствия внешних инвестиций, то износ фондов в США должен быть показателем отсутствия внешних инвестиций.

Да. Red hat тоже плотно сидит на американской оборонке.

Более того, покупают акции даже тех компаний которые никогда дивиденды не платили вообще или платили копейки, и при этом даже не скрывают что никогда платить и не будут.

Не очень понятно, почему это вдруг специфика российского рынка.

Apple не платила дивиденды с 1995 по 2012. Текущие квартальные выплаты — $0.24 за акцию (без корретировки по сплитам) при цене $177 за акцию. Т.е. меньше одного процента в год.

Microsoft платит $0.75 за акцию ежеквартально при цене $327 за акцию. Это тоже меньше процента в год.

Nvidia — $0.04 ежеквартально при стоимости $457.62 за акцию. Это вообще 0,043% в год.

Tesla, Netflix, Meta (facebook) не платят дивиденды вообще, да и не только они. Однако ж их берут.

Список можно продолжить.

Одна из основных причин, по которым инорезы так радостно сидели в российских активах, когда это было можно — как раз сравнительно большие выплаты. У ряда крупных компаний дивидендная политика — отправлять на выплаты больше 50% свободного денежного потока. Поэтому у всяких там Сберов и Фосагро и прочего крупняка годовые выплаты бывали в 8-15% от стоимости акции. Ну вот Фосагро за 2021 выплатил суммарно 558 рублей на акцию, это 10,5%.

Такая дивидендная доходность на американском рынке настолько большая редкость, что я даже сходу не припомню, кто сейчас делает такие выплаты и делает ли вообще. Но большие выплаты — большие риски. Что мы и наблюдаем уже который год.

Их становится некому эксплуатировать. На секундочку, секретные сведения АНБ о PRISM слили не в результате эксплуатации «уязвимостей LAN».

Не очень понятно, почему это вдруг специфика российского рынка

Потому что риски.

Одна из основных причин, по которым инорезы так радостно сидели в российских активах, когда это было можно — как раз сравнительно большие выплаты.

Согласен, но выплаты потому и были большие что за меньшие западный капитал сюда не придет.

Потому что риски.

Я не вижу принципиальной разницы между американской компанией и российской компанией исключительно с позиции низкой или нулевой дивидендной доходности. Надо читать отчётность и смотреть, куда они направляют свободный денежный поток, какие направления развивают, что происходит с их рынком и т.д. Принцип везде одинаковый — не понимаешь актив и его рынок — сиди на жопе ровно. Готов рискнуть — вот твои 10% портфеля, на них и рискуй.

Альт Линукс делал некоторые работы для ВНИИНС. Но не работал во ВНИИНС.

Капитализация всего ИТ рынка в России около 300 млрд. рублей.

Вот и всё, что нужно знать об уровне этого «эксперта». У одного только Яндекса капитализация в три раза больше.

Понятные прогнозы в смысле того, что экономику не ждет структурная трансформация, нехарактерная для других рынков.

Уровень P/E 30 на американском рынке — это плохой прогноз по росту. 3.3 % годовых по текущим earnings — выше текущей 2.4 % доходности по 10y типсам.

Тесла и нвидиа на острие хайпа. Я не готов их анализировать, сложно.

Ставят свои смайлики, а объяснить свои эмоции не могут?

Сравните последствия распространения форка RHEL и Astra для распространителей и получателей этих форков, а потом задумайтесь над «аналогичностью» этих дистрибутивов.

работал с Астра Линуксом, добавили в ядро мандатные уровни конфиденциальности, добавили отдельно уровни целостности. В комплексе это дает гарантию на безопасность. Куча патченного системного софта, который должен это всё понимать и главное работать. Ядро 5.15.

Сам дистр неспециализируюется как сертифицированный сетевой маршрутизатор, поэтому поднять сертифицированный впн там не получится, но поддержка гост алгоритмов есть - и поднять впн с поддержкой гост можно (типа для себя). Далее Астра постоянно покупает и присоединяет к себе партнеров, для совместной работы в комплексе одного защищенного пространства. У Астра уже есть неанонсированный терминальный сервер RDP (и это не xrdp) с редиректом принтеров, дисков и токенов, есть инфраструктура и технологии для работы в облаках - в комплексе это всё очень нужно госсектору который досих пор сидит на windows и при этом нужна работа в защищенных облаках. Есть система виртуализации - которую точно также пилят под мандатный доступ.

Единственный косяк Астры - это очень слабая база для корпоративного сектора - это Debian, с его недоделанным пакетным менеджером (даже пока не буду акцентировать кучу других недоделок), очень часто были ситуации что клиент обновляет пакет - а по факту обновление ставится только после полного сноса и установки пакета.

Но на будущее у Астры много перспекив. Продавать - тоже нужно уметь. А что могут предложить государственному сектору другие?! по факту ничего.

Как раз по пункту ПМИ с доступом по RDP к существующему сеансу в одной корпорации Астра не прошла на позапрошлой неделе. Так что не только Астра предлагает нормальные сертифицированные решения, она просто создаёт волну хайпа. А потом берёт кредиты в полгодовой своей выручки. И темп роста выручки замедляется. Крупных объектов продажи не осталось и Астру ждут весёлые времена. А вот акционеров – не очень.

Единственный косяк Астры - это очень слабая база для корпоративного сектора - это Debian, с его недоделанным пакетным менеджером (даже пока не буду акцентировать кучу других недоделок), очень часто были ситуации что клиент обновляет пакет - а по факту обновление ставится только после полного сноса и установки пакета.

А кто сейчас в проде часто пользуется пакетным менеджером?

Ведь многие переходят на CI/CD, а там IaC и контейнеры.

Что там у Астры с контейнерами? С сертификацией и лицензированием для контейнеризации и т.п.?

Пожалуйста, проясните ситуацию с контейнерами в Alt: лицензии (как количество покупаемых лицензий зависит от количества контейнеров, их образов), сертификация всего этого и т.п.

Крупных объектов продажи не осталось и Астру ждут весёлые времена. А вот акционеров – не очень.

А вот если бы была Windows 8, то там плитка ;)

Пока экземпляры контейнеров отдельно не лицензируются, но это, возможно, изменится. Альт СП релиз 10 сертифицирован по новым требованиям ФСТЭК к управлению виртуализацией и контейнеризацией.

Пока экземпляры контейнеров отдельно не лицензируются,

В смысле можно бесплатно создавать любое количество образов и экземпляров контейнеров?

По идее если что-то не лицензировано, то ведь использование и вовсе не законное ? :)

Или все-таки лицензировано, но для бесплатного использования в любом количестве контейнеров на хосте, который лицензирован.

А что с виртуалками? С образами виртуалок? С бэкапами, снэпшотами и т.п.?

Какие виды контейнеризации доступны?

LXC, LXD, Docker, Podman?

Какие требования сертификаторов к инфре в плане содержимого контейнеров? Контейнеры могут содержать только пакеты из сертифицированных дистрибутивов?

хороший кандидат в шорт с 100 плечом )

Так что не только Астра предлагает нормальные сертифицированные решения

сертификат на гостайну? у кого и где?

И темп роста выручки замедляется. Крупных объектов продажи не осталось и Астру ждут весёлые времена.

LOL если это так, ОСТАЛЬНЫМ там нех уже чтото ловить… undestand же?

только не нужно продолжать, мне до Астры как до луны

сертификат на гостайну?

И многим конторам нужен сертификат на гос-тайну? Т.е. если нам не нужен сертификат на гос-тайну - Астра нам не подходит?

да мне безразницы что там ВАМ подходит или нет. Просто в данной конкретной теме у Астра нет конкурента, кто там еще по вашему будет пылесосить госбабло с рынка? где очередь конкурентов?

при этом ценник на linux у ВСЕХ остальных абсолютно такой же НЕАДЕКВАТНЫЙ, как будто там колхозили код 20 лет.

Пишите на sales@basealt.ru – они ответят подробно.

сертификат на гостайну? у кого и где?

У МСВС. Гостайна нужна мало кому в отличие от персданных и КИИ.

при этом ценник на linux у ВСЕХ остальных абсолютно такой же НЕАДЕКВАТНЫЙ, как будто там колхозили код 20 лет.

Сделайте и продайте по адекватной цене.

Эту древность и десять лет назад было непросто установить на компьютер, а уж в наши дни и подавно.

Пишите на sales@basealt.ru – они ответят подробно.

Лень, честно.

Тем более в госухе IMHO никаких перспектив по:

1. Свободному графику

2. Удалёнке из дома

3. Вменяемости задач с точки зрения современного CI/CD

4. Уровню оплаты

Сплошные минусы :(

Еще и слишком мудреное лицензирование мало кому worldwide нужных дистрибутивов. Глядя на текст лицензии, этакий проприетарный «Windows», от чего ушли как говорится. Linux в зазеркалье, Russian Reversal в лучших традициях.

И еще интересные вопросы, какие IaC инструменты доступны?

Terraform (Terraformer, Terragrunt, CDK for Terraform), Ansible?

LXD Compose, LXDWare Dashboard?

А что с плагинами, провайдерами и ролями, которых огромное количество в различных репозиториях?

Кто их сертифицировал?

А за использование несертифицированного софта различные неприятности? Какие преимущества во всем этом для DevOps инженера?

Какие поставите с офсайтов – такие и будут. Опакечивать растовое или нодджиэсное – тот ещё геморрой. И к сертификации это не имеет никакого отношения. Просто сидите на любимых халявных дистрибутивах.

Какие поставите с офсайтов – такие и будут. Опакечивать растовое или нодджиэсное – тот ещё геморрой. И к сертификации это не имеет никакого отношения. Просто сидите на любимых халявных дистрибутивах.

В смысле это допустимо для использования в сертифицированной инфре?

А зачем тогда сертификация дистрибутива, если в него можно ставить несертифицированный софт?

Где об этом написано подробнее?

У Apple и Google P/E сейчас 30. У Microsoft - 33.

Об этом написано в РД ФСТЭК. Если Вы не знаете разницы между сертификацией и аттестацией, то это не Ваше. Просто продолжайте тащить всё из Интернета, как обычно и делают девопсы.

В терминах по этой тематике плаваю, поэтому и спрашиваю.

Аттестация - это вероятно для вычислительного узла?

А сертификация для запускаемого на нем софта.

Мне проще спросить на форуме у специалиста типа вас, чем пытаться вчитываться в длинные доки.

Ну ОК, раз вы не хотите помочь, то спрошу у АИ:

https://www.perplexity.ai/search/b1cc3430-fa23-4117-94c8-cc027115d317

Использование несертифицированного софта на аттестованном рабочем месте в РФ может привести к различным последствиям. Во-первых, это может привести к нарушению законодательства РФ, так как на аттестованных рабочих местах должен использоваться только сертифицированный софт, соответствующий требованиям безопасности. Во-вторых, использование несертифицированного софта может привести к уязвимостям в системе безопасности, что может привести к утечке конфиденциальной информации или к другим серьезным последствиям. В-третьих, использование несертифицированного софта может привести к проблемам с поддержкой и обновлением, что может привести к сбоям в работе системы. Поэтому, использование несертифицированного софта на аттестованном рабочем месте в РФ не рекомендуется и может иметь серьезные последствия.
Related
Какие органы контролируют использование сертифицированного ПО на аттестованных рабочих местах в РФ?
Какие штрафы могут быть наложены за использование несертифицированного ПО на аттестованном рабочем месте в РФ?
Какие меры безопасности необходимо соблюдать при использовании сертифицированного ПО на аттестованном рабочем месте в РФ?

Очередное подтверждение моего тезиса:

Мосбиржа допустила к торгам акции группы компаний «Астра» (комментарий)

Вот и работай после этого с госушниками по крайне мере напрямую.

IMHO безопасно им можно только что-то лицензировать через непробиваемые номинальные прокладки на условиях «AS-IS».

А входить с ними в более тесные контакты себе дороже.

Идет передел рынка
Кто-то теряет свои позиции или вообще уходит, кто-то захватывает его

У МСВС. Гостайна нужна мало кому в отличие от персданных и КИИ.

серьезно? А версия ядра, современное оборудование? ненужно.. даже?

Если Вы не знаете разницы между сертификацией и аттестацией, то это не Ваше. Просто продолжайте тащить всё из Интернета, как обычно и делают девопсы.

Вот теперь я узнаю классического надменного Андрея.

Ну надо заметить, что оппонент сильно постарался).

ИИ написал чушь. Ничего другого он не пишет.

Нет. Это просто правда.

ИИ написал чушь.

Хоть обозначьте его ошибки, чтобы не быть голословным.

Ничего другого он не пишет.

Не ожидал от вас такой чуши.

Боюсь, что в области ответов на незнакомые вам технические темы perplexity.ai выше вас на skull голову.

Ну надо заметить, что оппонент сильно постарался).

Можно цитату, где это проявляется?

Аттестация подтверждает, что информационная система по модели угроз закрывается различными средствами: как техническими, так и организационными. Использование сертифицированного ПО является лишь упрощающим фактором аттестации. При этом можно использовать ОС как СЗИ, так и наложенные сертифицированные средства. Однако это не отменяет защиты в виде изоляции в закрытых контурах (узнайте, как аттестовали первый ЕМИАС) или даже приказами по организации.