photo
+5

ГК Astra Linux и ИСП РАН представили основы методологии разработки безопасного системного программного обеспечения

| Новость | Блог компании Группа компаний Astra Linux

2-3 декабря в Москве состоялась Открытая конференция Института системного программирования им. В.П. Иванникова Российской академии наук (ИСП РАН), являющаяся главным ежегодным научным форумом в области безопасной разработки программного обеспечения (ПО), технологий анализа, моделирования и трансформации программ. На этой конференции специалистами ГК Astra Linux и ИСП РАН были представлены основы формируемой с их участием методологии разработки безопасного системного ПО.

Актуальность методологии подтверждается тем, что разработка безопасного системного ПО, на основе которого строятся отечественные сертифицированные средства защиты информации (СЗИ), достижение доверия к нему согласно требованиями нормативных документов регуляторов – крупная научно-техническая проблема. Путем ее решения является отражение в методологии передовых научных результатов в области информационной безопасности и системного программирования, а также лучших практик разработки системного ПО, в первую очередь — операционных систем (ОС).

При этом основными направлениями методологии являются, во-первых, деятельность по развитию нормативной базы в области разработки и обеспечения доверия к безопасному системному ПО, включая создание профильных национальных стандартов. Во-вторых, разработка и верификация формальных моделей управления доступом как основы механизмов защиты, входящих в состав системного ПО, интерфейсы которых составляют его поверхность атаки. В-третьих, методы и технологии статического и динамического анализа программного кода системного ПО с учетом его специфики. В-четвертых, способы сбора и аналитической обработки данных, получаемых в ходе анализа программного кода системного ПО.

Все методы, технологии, инструментальные средства, получаемые при формировании методологии, проходят апробацию при разработке ОС семейства Linux, в том числе сертифицированной по высшим классам защиты и уровням доверия операционной системы специального назначения Astra Linux Special Edition.

Вместе с тем, процесс создания методологии еще далек от своего завершения, требуют совершенствования многие составляющие ее технологии и методы, в особенности — направленные на определение глубины поверхности атаки и на анализ программного кода системного ПО с учетом его объемов и сложности. Кроме того, требуют расширения спектр поддерживаемых инструментальными средствами анализа кода языков программирования, а также состав поддерживаемых аппаратных платформ, в первую очередь базирующихся на отечественных процессорах, таких как Baikal или «Эльбрус».

«Залогом успеха формирования методологии и ее внедрения в практику разработки безопасного системного ПО является объединение в этом направлении усилий отечественных регуляторов, научного сообщества и разработчиков такого ПО. При этом специалисты ИСП РАН вносят свой вклад как научными исследованиями, созданием специализированных инструментальных средств, так и организационно, обеспечивая функционирование «Центра верификации ОС Linux», в рамках которого новые методы и инструменты применяются к компонентам ОС. Только в ядре ОС Linux специалистами Центра было выявлено и исправлено более 500 ошибок», – отмечает Алексей Хорошилов, кандидат физико-математических наук, директор «Центра верификации ОС Linux» в ИСП РАН.

«Очень важным при формировании методологии является участие в этом представителей ведущих российских разработчиков системного ПО, которые не только осваивают соответствующие технологии и инструментальные средства, а, что главное, вносят свой вклад в их развитие и научное сопровождение. При этом уже имеющийся опыт успешной апробации методологии при создании СЗИ на основе Astra Linux Special Edition подтверждает правильность выбранного пути и востребованность методологии при разработке безопасного системного ПО и обеспечении доверия к нему», – резюмирует Петр Девянин, доктор технических наук, профессор, научный руководитель ГК Astra Linux.

Об авторе
Редактор iXBT.com и iXBT.Market

8 комментариев

r
не «безопасной разработки программного обеспечения (ПО)», а «разработки безопасного программного обеспечения»
l
Если нацепить респиратор, каску и презерватив — будет безопасная разработка.
R
Как бы им так сказать, по поводу всей этой методологии...
Пока они берут все исходники у какого нибудь, скажем Дебиана, то будь у них хоть десять комплектов документации по безопасной методологии разработки, пока в очередной Самбе будут находить ошибки, их операционки будут потенциально взламываемыми.
Но на самом деле, вся новость тупо похожа на очередной пресс-релиз.
Последний раз редактировалось
w
Последний раз редактировалось
P
«определение глубины поверхности атаки»
пояснительную бригаду!
R
пояснительную бригаду!

Палец в попе чувствуешь?
И я тоже, НО! есть ньюанс глубины!
Последний раз редактировалось
a
А инструменты для безопасной разработки не забыли? Или будет как с госуслугами и еще какими-то «отечественными приложениями», где данные почему-то уходят фейсбуку (не персональные, но все равно) — потому что кодерам так удобно, с трекерами и прочей шнягой.
5
у Jolla купили дистрибутив превратив в Аврору ОС как обычно не для народа

Добавить комментарий

Блог ↓