МСВСфера 10.1 с локальным ИИ-ассистентом «Василиса» стала доступна бесплатно

Новость про российский ИИ-ассистент хорошо гармонирует с аватаркой топикстартера

МСВСфера 10.1 с локальным ИИ-ассистентом «Василиса» стала доступна бесплатно (комментарий)

Так и пиратить надо Windows Server 2003 и/или XP.

Современные средства разработки их не поддерживают.

И 64-битные их версии очень ненадёжные.

У меня одного не приходит уведомление на яндекс при регистрации?

Попало в папку «Спам». Надо в свойствах письме указать «не спас». Тогда оно переместился а папку «Входящие» и в нейм станет доступна кнопка «Согласен на получение рассылки». После этого поступает письмо со ссылкой на скачивание дистрибутива, опять в папку «Спам». Чтобы,скачивание стало доступным надо и это письмо пометить «Не спам» (вверху Yandex Mail).

Значит, допилить средства разработки и допилить 64-битные версии. Всё это делается, ведь Microsoft же это сделал. Вот что нельзя сделать - это закрыть в линуксе все дыры. Это не смог сделать никто и даже в теории непонятно, как этого можно добиться. Т.е. гарантировать безопасность линукса было нельзя ни в какой момент его существования. Поэтому российский линукс не имеет смысла - ведь он делается именно для того, чтобы не иметь бекдоров от авторов исконного линукса. На этом фоне бессмысленность реактоса, даже если мы и придумаем для неё какие-то резоны, просто бледно смотрится.

допилить 64-битные версии

Имея в распоряжении только спираченные 32-битные бинарники и давно утекшие исходники другой версии? На ассемблере патчить? :)

Microsoft же это сделал.

Microsoft довёл до ума 64 бита только для Висты. Для чего пришлось много переписать и внести несовместимостей.

что нельзя сделать - это закрыть в линуксе все дыры.

Отключить лишние порты? Собрать ядро без лишних драйверов? Это отсечёт большую часть дыр, которые в головах пользователей.

российский линукс не имеет смысла - ведь он делается именно для того, чтобы не иметь бекдоров от авторов исконного линукса

Расшифруй.

В последнее время, к «отечественным» выхлопам - отношусь с ба-а-альшой осторожностью. Особенно, после натурально-насильственного втюхивания мессенджера МАХ. Всем желающим и не желающим его использовать. Типо - «а если нет - отключим газ», или госуслуги...

Да нет, я не против отечественных разработок. Даже, когда его реально из каждого утюга рекламируют - это ещё пол-беды. Беда в том, что попытка завязать все госсервисы в одном приложении - может закончиться очень плохо. Если что случится, неважно что: взломают, сервер ухнет, метеорит упадёт... - это будет полный абзац. Ну его нахрен...

Может быть, я не силён в МСВС.

Может быть.

Возможно.

Туда окольного пути 4 километра, а по короткому пути туда и вовсе не дойти. Поддерживать нужно старый софт, который уже прошёл естественный отбор. Обычно он совместим со старой виндой, которую и надо пиратить. Windows Server 2003. Новый софт, так и быть, пишите под Линукс, я разрешаю. Ну или под ОС Касперского.

российский линукс не имеет смысла - ведь он делается именно для того, чтобы не иметь бекдоров от авторов исконного линукса

Расшифруй.

Если мы не боимся бекдоров, зачем вообще нужен российский линукс? Берём убунту и пользуемся.

Отключить лишние порты? Собрать ядро без лишних драйверов? Это отсечёт большую часть дыр, которые в головах пользователей.

Это закроет большую часть подкопов под стены крепости, при том, что для поражения достаточно одногоо.

Не думаю, что нарушающая GPL астра настолько может быть интересна.

Это откуда известно?

Свою ось вы написать не в состоянии, всей страной

Чивоблин… Тока при наличии открытых готовых это довольно глупая идея

Операционка - слишком глобальный проект

Смотря какая. Во, посмотри хоть на haiku - вполне юзабельная, а пилят реально энтузиасты по приколу

МСВС - это другая ОС

Ну мне уже рассказали, это я про неё говорил что кровь пила

А Василиса платная?

Гусары, молчать!

Поподробнее.

Есть только основополагающие дистрибутивы, то есть те которые делают всю работу по поддержке пакетов.

таких нет. Сами программы пишутся и поддерживаются вне дистрибутивов, а часть работ по поддержке ведется в деривативах.

А есть нахлебники, которые отличаются разве что набором файлов в /etc и может быть парочкой-тремя пакетами, что не сравнится что с тысячами, над которыми работают дистрибутивы серьёзные.

При желании всех можно назвать нахлебниками, поскольку никто не самодостаточен.

Замечу, что даже наличие своего ДЕ в дистрибутиве или своей мандатной модели безопасности не спасет от нападок кретинов с их обвинениями в «нахлебничестве».

Интересное рассуждение. Это нам получается выкинуть Альт, Астру, Росу и Редос только потому что бекдоры не закрыты? Выкинуть EPM потому что он часть разработок российской линукс среды?

Если мы не боимся бекдоров

Откуда этот вывод?

Это закроет большую часть подкопов под стены крепости, при том, что для поражения достаточно одногоо.

И что, из-за гипотетической неучтённой уязвимости вообще отказаться от мер безопасности?

И чем меньше дыр, тем меньше можно протащить через них. Аудит кода понижает вероятность. И т.д.

Если мы не боимся бекдоров Откуда этот вывод?

Это не вывод, это посылка. Я предполагаю, что мы их боимся. Если мы их боимся, мы должны спустя вот столько лет оценить эффективность того, как хорошо мы, как страна, с нашим разнообразием дистрибутивов и прославленной научной школой, бла-бла-бла, реально их закрываем. Это как бы азы управления - что-то сделал - оцени результат. Кто оценивал? Я, например, оценивал и это даже не побоялись опубликовать. Но я - это никто и моё мнение ничего не означает. Государство как оценивало?

https://s3r.ru/stavka-tolko-na-linuks-eto-oshibka/

И чем меньше дыр, тем меньше можно протащить через них. Аудит кода понижает вероятность. И т.д.

А вот это - просто словоблудие, а не что-то, имеющее отношение к управлению. Без замеров - просто словоблудие. По какой метрике у нас оценивается эффективность импортозамещения ОС? Насколько снижена вероятность атаки через бекдоры? Чему она равна? По какой модели оценивалась? Где документ, по которому оценивается результат, а не процесс? Например «репозитории и инфраструктура распространения пакетов должны быть в России» - это результат, но не про всю безопасность, а лишь про 1% возможных сценариев заработать неприятности. А вот «должна быть российская команда у российской ОС» - это скорее про процесс, а не про результат. А процесс никого, кроме распильщиков не интересует. Стране нужен не процесс, а результат. По бекдорам, где документ, задающий критерии оценки успешности обезопасивания наших ОС по сравнению с Убунту? Похожи ли эти критерии на что-то реальное или там написано «мы будем стараться закрывать бекдоры»?

Да я на самом деле на 80% уверен, что такого документа просто не существует.

Вот когда будет ответ на эти вопросы, тогда мы и узнаем, надо ли выкинуть Росу, Астру и всё вот это. А пока я могу только предполагать, что да, мы должны их выкинуть или как минимум внимательно посчитать, стоят ли они своих денег.

https://s3r.ru/stavka-tolko-na-linuks-eto-oshibka/

Больше половины моих проектов … написаны в одиночку

Кустарь. Пилит уникальные решения для мелких организаций и небольшого числа пользователей. Иначе бы похвастался. Как работает контроль качества массового продукта и безопасность в большой организации — не в курсе.

Выискивание у меня каких-то недостатков не является ответом на мои вопросы. Потрудись хотя бы сфокусироваться не на мне лично, а на моих вопросах, они вполне конкретны, например, в каком документе оценивается успешность очистки линукса от уязвимостей (бекдоров).

Я видел только «мы сделали N патчей». Любая оценка полноты очистки подразумевается некое N (мы очистили) и некое M (всего надо было очистить). Делим N/M и получаем оценку качества нашей работы. Ты же понимаешь, что «мы сделали N патчей» - это словоблудие, т.к. M не присутствует. Покажи мне правильные оценки.

А если я задал плохие вопросы, то чем они плохие?

Астра умеет в работу с большим перечнем гостовского ПО, и техники. Этот дистрибутив в одной и той же поставке можно заставить работать как на сервере, так и на планшетном компьютере. Астра один из немногих дистрибутивов, что вообще работает с Эльбрус и некоторыми другими локальными разработками РФ. Про Росу я вообще молчу, потому что этот дистрибутив продолжение Мандривы, если вообще кто-то помнит Мандриву, и как дистр для домашнего пользования без напряга, и домашнего сервера, является хорошим решением. Я на Росе сидел ещё когда она поставлялась с четвертыми кедами, и в целом ни о чем не жалею. В коммерческом пользовании видел её неоднократно в тех же больницах, это фактически второй дистрибутив после корпоративного Альта в российском пользовании.
Про Альт и его сообщество очень многое можно сказать. Я напомню, что Альт вообще не однородная вещь, потому что «Базальт СПО» сопровождает в основном коммерческую часть дистра. А над всякими jeOS, стартеркитами, сизифом и многим другим работает сообщество.

" видел её неоднократно в тех же больницах"

Она туда как-то «официально» поставляется/устанавливается, или это было «инициативное внедрение локального IT персонала»?

Интересуюсь,потому что в местном МЧС несколько лет назад доводилось «Астру», «спущенную сверху», устанавливать и персонал «начально обучать»...

В основном, конечно же, такие инициативы идут сверху. А если говорить про решение локального IT персонала, то я застал такой момент, когда мой знакомый смог протащить в организацию дебиан как серверное решение, и Антикс для некоторых очень старых компьютеров. А так к ним на замену старому железу притащили кучу моноблоков корпоративным с Альтом, с ним они работать умели, а вот остальной персонал, не очень. По моему мнению, Роса в плане сопровождения и обучения, будет полегче чем Альт. Утверждать я прям уж не берусь, щупал корпоративную Росу пару раз от силы.

на хлеб-то умом зарабатываешь или физическим трудом? Это и есть критерий

Подловил, шельмец!

Али не помнишь для кого акция с таким названием проводилась?

Как и все акции – для челядинцев.

Это всё круто, допустим, работоспособность под Эльбрусом можно также засчитать за фичу, которая может оправдать существование дистрибутива. Но ведь и сам Эльбрус сделан (был) для безопасности. Поэтому от необходимости замеров уровня безопасности этой ОС мы не избавлены наличием новых фич.

Я могу предложить несколько способов её замерять:

• смотрим в дикой природе количество кибератак и сравниваем, на какие ОС атаки более успешны. В общем-то это критерий номер 1, ради него работаем
• какую долю уязвимостей «нуля дней», найденную в данном семействе ОС, мы предотвратили своей работой (естественно, тут нужно классифицировать уязвимости, а нельзя обойтись одной интегральной цифрой)
• темп нахождения уязвимостей - он должен при прочих равных со временем снижаться в наших дистрибутивах, причём снижаться быстрее, чем в оригинальных
• срок жизни уязвимостей в дистрибутиве (выявляется задним числом)

И за каждый продолб ещё должен кто-то ответить. Если показатели хронически не улучшаются, значит мы идём глобально не туда. И это на данный момент представляется мне вполне очевидным, хотя я провёл лишь очень маленькое исследование. Но кто провёл большое?

А что тебя смущает? Чем оно хуже любой другой акции?

Юрьев День - дата, с которой в России связывалось осуществление права перехода крестьян от феодала к феодалу, так как к этому времени завершался годовой цикл сельскохозяйственных работ и происходил расчёт по денежным и натуральным обязанностям крестьян в пользу их владельцев.

Я даже боюсь думать на что намекают авторы акции.

Насколько я знаю, это не RHEL, это федора. Приходится пользоваться эпизодически. Уровень стабильности соответствующий.

На википедии написано, что CentOS, я не знаю, кому верить. По мне, так типичное очередное ненужно.

Не CentOS, поскольку он стал непрерывно обновляемый, и с него переходят на стабильные AlmaLinux и Rocky Linux. Ну вот и МСВСфера 10.1 похожа на этих двоих.

Надо у разработчиков узнавать, мне как-то все равно. Везде пишут разное. Опять же, с центоса отфоркались и завели свою политику обновления. Пусть живут, забыли. :)

Удивился - кто-то начал обсуждать в теме то, что относится к теме. Но обозначение 10.1 ни о чём не говорит? Появилась RHEL 10.1, вскоре после неё AlmaLinux 10.1 и Rocky Linux 10.1, а вскоре после них МСВСфера 10.1 . Состав пакетов похожий, хотя у МСВСфера их вроде меньш . Впрочем, даже в live образе МСВСфера есть GParted, которого у тех пока ещё нет. Может пригодиться при установке. Ну, не буду нарушать обсуждение React OS.

Выискивание у меня каких-то недостатков не является ответом на мои вопросы.

Так это твоя статья?

Тогда могу сказать только, что твой огромный, но однобокий опыт препятствует трезвой оценке программных проектов. Подробнее объяснить не могу, сам не настолько хорошо понимаю вопрос, иначе бы смог удержаться на руководящей должности :) Джоэль Спольски это гораздо лучше разбирал с «consultingware» и «shrink-wrap», попробуй почитать.

Вкратце. Как кустарь, ты привык вылизывать продукт для узкого применения обученными людьми. Массовое производство — компромисс между скоростью и качеством, а пользователи бывают очень разные. Статистика описывает дыры в Линуксе, потому что производственный процесс на виду. Закрытые коммерческие ОС тоже не блещут надёжностью, но доступ к этим дырам ограничен «нужными людьми».

Если даже я и был кустарём, то это не значит, что я не понимаю, как работает контроль качества. Вот, допустим, берём DNS, массовые продукты продаёт. Просто у них есть графа «процент обращений в сервис» и ты сам можешь выбирать модели, которые они заявляют как надёжные.

Не знаю, чем мой опыт опять же препятствует трезвой оценке. Если астровцы пропустили прославленные уязвимости нулевого дня локального повышения полномочий (я их взял как самые простые для сопоставления между собой, т.к. сетевые уязвимости обычно зависят от запущенных сервисов и их настройки, их нельзя свести в один рисунок), которые жили по 6-7 лет и налагали патчи уже после обнаружения, то это однозначно намекает на то, что у них эти бекдоры могли тоже сработать, несмотря на всю их работу. Так это или нет - если честно, сказать нельзя, но нет повода не опасаться.

Это всё достаточно простые вещи, из серии «немножко беременна». Равно как и оценка результата. Если опять же взять пример из автомобилей, там бывают массовые отзывы из-за обнаруженной неполадки, допустим, если руль на скорости заклинивает, они могут отозвать сотни тысяч автомобилей.

В любом случае, контроль качества при производстве должен быть. А я его не вижу вообще. Не то, чтобы там какие-то компромиссы, а вообще нет. Целью нашего производства, я надеюсь, является снижение уязвимости системы. Его нужно замерять и оценивать результат работы. В противном случае, за что мы все платим деньги? Русбитех заработал много денег, и в конечном счёте, это деньги народные. Могли бы бензин на 10 копеек дешевле сделать вместо этого, допустим.

При отсутствии контроля качества, направленного на снижение уязвимости систем, с критериями оценки качества, хоть 100 новых дистров отечественных наплоди - результат не улучшится. Потому что никто в нём не заинтересован.

Дальше, на производстве есть тоже такой критерий, как процент брака. Берут партию, выборочно проверяют, допустим, 1% изделий. Далее методами матстата оценивают, что означает ненахождение ни одной бракованной детали или нахождение одной. Но если нашли одну, то далее проводят более детальный (и более дорогой) тест этой партии. Далее принимают решение, ищут багу в процессе, дают кому надо по шапке.

У нас же тут чистый позитив. Недавно была просто конференция Иванникова, или какое-то другое мерпориятие, где ИСП РАН похвалялся, сколько патчей они в ядро залили (некий консорциум у нас существует по созданию отечественного ядра). Но это словоблудие без понимания, сколько всего патчей надо залить. Неизвестно? Надо попытаться оценить. Просто одна цифра - это ни о чём.

Удивился - кто-то начал обсуждать в теме то, что относится к теме

Ты че, первый раз здесь? :) что тебя так этот момент тревожит, обсуждаем что хотим: так и работает беседа, иногда уплывает от первоначальной темы, то же мне беда…

я его не вижу

Вот именно.

Так я ещё к тому же работаю в области ИБ. Конечно, я мог его не видеть, потому что просмотрел, а мог не видеть его, потому что его не существует в природе. И на 80% я уверен, что имеет место второе.

По тому что отсюда https://dl.astralinux.ru/astra/stable/leningrad/security-updates/ они не только отказываются что-либо выкладывать согласно лицензии, но и активно удаляли то что случайно попало.

таких нет. Сами программы пишутся и поддерживаются вне дистрибутивов, а часть работ по поддержке ведется в деривативах.

У дистрибутива работа их ещё друг с другом состыковать, сложность чего может быть как минимальной, так и наоборот.

К сожалению, пока не пробовал. Оно вроде обычной фряхи, но с русским духом, коммунистической символикой и кедами из коробки.

Что-то из комментариев так и не понятно, пользовался ли кто-нибудь сам «героем дня» — этим вот «МСВСфера 10.1»...

Как oно? Есть смысл посмотреть в его сторону? Бесплатное же... халява, то есть... :))

Я пока посмотрел без установки, примеряюсь, куда бы поставить. Сравнил со сходными установленными AlmaLinux 10.1 и Rocky Linux 10.1. Различия не так велики. В МСВСфера почти все на видных местах русифицировано.В качестве DE пока есть только Gnome. Чтобы появилась кнопка «Пуск», использовано Arc Menu (расширение Gnome). Кнопка «Пуск» на самом деле не очень нужна и видимо предназначена для пользователей на работе, не вникающих глубоко в Linux. Репозитории в этих дистрибутивах 10.1 пока еще заполняются и в них ещё нет некоторых обычных программ. Вот, в AlmaLinux 10.1 и Rocky Linux не оказалось Gparted (может пригодиться при установке) и Timeshift, а в МСВСфера уже есть. Приложений в магазинах 10.1 пока маловато, но может помочь Flatpak. Оригинальной особенностью МСВСфера является Chromium Gost - то есть Chromium с российскими криптогпафическмии алгоритмамм. Полезно на работе.