Российскому репозиторию программ с открытыми исходными кодами «Сизиф» (Sisyphus) исполнилось 20 лет. Он создан сообществом русскоговорящих разработчиков ALT Linux Team на базе менеджера пакетов RPM, разработанного Red Hat, однако коды в нем обрабатываются по собственным правилам. Всего в мире четыре открытых репозитория операционной системы Linux: Debian, Red Hat, SUSE и Sisyphus. Сегодня «Сизиф» – это открытая инфраструктура разработки свободного программного обеспечения (СПО), в рамках которой любые разработчики операционных систем и прикладного ПО могут собирать свои программные продукты. Всем программистам, которые используют «Сизиф», доступен набор инструментов сборочной среды и 17773 исходных программных пакетов свободного ПО для девяти аппаратных архитектур. Всего в проекте на текущий момент работают 263 майнтейнера, которые и обеспечивают ежедневную пересборку изменяемых пакетов и распространение обновлений по всем установленным операционным системам.
База для импортозамещения
Сегодня на базе «Сизифа» развивается семейство отечественных операционных систем «Альт» производства «Базальт СПО» — коммерческого ядра сообщества ALT Linux Team. С российским репозиторием также работает ряд фирм, создающих приложения для обработки конфиденциальной информации. Эти продукты сертифицированы ФСТЭК, ФСБ и Министерством обороны России. Репозиторий развивается в тесном взаимодействии с международными проектами разработки СПО. В их работе активно участвуют российские программисты, которые обеспечивают двунаправленный трансфер технологий между Россией и мировым сообществом СПО. Причем российские наработки по поддержке отечественных процессоров, переданные в международные проекты, обеспечивают перспективу выхода российских компьютеров на мировой рынок.
«Двадцать лет – серьезный срок для большого проекта свободного ПО, – похвастался заместитель генерального директора «Базальт СПО» Алексей Новодворский. – Мы встречаем наш юбилей на подъеме, с хорошими результатами и, надеюсь, перспективами. Мы сохранили верность принципам свободной разработки, которые вдохновили нас на начало проекта и объединили в команду. Поздравляю от всей души всех участников, всех членов ALT Linux Team во всем мире. Спасибо вам, дорогие коллеги и друзья».
Безопасность СПО
Да, именно «Сизиф» является основой для создания некоторых российских программных продуктов, которые на самом деле являются международными проектами с открытыми кодами. Они легко попадают в реестр российского ПО Минкомсвязи, а потом при поддержке законодательства по импортозамещению быстро устанавливаются в российских компаниях и на объектах КИИ. Однако кто проверял насколько безопасны исходные коды всех этих 17 тыс. пакетов, которые ежедневно обновляются? В основном сервера «Сизиф» под контролем майнтейнеров просто пересобирают пакеты по правилам репозитория — выполняется только проверка откомпилированных кодов на работоспособность. Однако известно, что в работе такого репозитория как Red Hat принимает участие в том числе и разработчики из АНБ — они реализуют в нем систему контроля доступа. Кто-нибудь проверял содержит ли эта система закладки? Искусно сделанную закладку таким способом обнаружить не получиться, что и позволяет иностранным компаниям встраивать свои «ошибки» в том числе и в российские продукты. Например, эксперты «Базальт СПО» несколько лет назад обнаруживали интересную «ошибку» в реализации системы Samba, которая ограничивала использование Linux для больших инсталляций.
Проекты с открытыми исходными кодами могут представлять не меньшую опасность, чем закрытые иностранные решения, поскольку проверкой их безопасности никто не занимается. Разработчики стараются только нарастить функциональность и исправить уже обнаруженные ошибки. В СПО не принято использовать методологию безопасной разработки SDL, которая сейчас стала частью процесса разработки коммерческого ПО. В России также есть стандарт безопасной разработки, однако проекты с открытыми кодами редко ему соответствуют, поскольку слишком много библиотек пришлось бы по нему сертифицировать. После 20 лет существования репозитория, когда политическая ситуация в мире изменилась, хорошо, что в России есть “Сизиф”. Однако сейчас наступает время когда для безопасного использования хранящихся в нем операционных систем и приложений нужно организовать процесс проверки уровня доверия к собираемым в нем пакетам хотя бы для критичных компонент.
