LINUX.ORG.RU

В России создали консорциум для исследования безопасности ядра Linux

 , , ,


2

2

В институте системного программирования Российской академии наук (ИСП РАН) создали консорциум, который будет исследовать безопасность ядра Linux и развивать его российскую ветку. Новая структура будет работать на базе созданного ранее Технологического центра исследования безопасности ядра Linux.

Консорциум объединит в рамках сотрудничества научные институты, вузы и IT-компании. Это позволит улучшить защиту российских программ на базе ядра Linux. Он будет следить за внедрением принципов безопасной разработки ПО, участвовать в создании инфраструктуры и привлекать новых участников.

В числе партнёров Технологического центра названы компании «Базальт СПО», «Открытая мобильная платформа», «Ред Софт», «РусБИТех-Астра», «Финтех», «Яндекс.Облако» и другие.

>>> Подробности

★★★★★

Проверено: hobbit ()
Последнее исправление: hobbit (всего исправлений: 2)
Ответ на: комментарий от windows10

Нашел дыру - пиши.

А кто будет сидеть и искать дыры? Вот и создали консорциум, чтобы программисты за деньги эти дыры искали. Но это в идеальном мире, тут наверняка откатно-распильная система большую часть дотаций сожрет, увы.

Kolins ★★★★
()
Ответ на: комментарий от fluorite

Не очень понимаю суть твоей претензии. Это обычная партнерка: за счет плюшек из игры потенциальные клиенты РТК становятся реальными. Кстати, РТК не госкомпания.

По последней ссылке вообще какая-то бредятина: заголовок не соответствует содержанию. Самая жирная претензия к ВГ там это «American and Ukrainian journalists are wondering why Wargaming LLC decided to cooperate with GlobalMoney accused of money laundering, terrorist financing, and other crimes»

leave ★★★★★
()
Ответ на: комментарий от Forum0888

Модераторы могли бы прибраться и поаккуратнее, подтерев аселеровские оффтоп-благоглупости, спровоцировавшие флейм.

Adamos ★★
()
Ответ на: комментарий от Adamos

Хорошо, что я не модератор.
Работа у них непростая и нужно всякой гадости говорить «Голубчик скушай ка супчик».

Россия мне не безразлична.
Однозначно!

Forum0888
()
Последнее исправление: Forum0888 (всего исправлений: 1)
Ответ на: комментарий от leave

РТК не госкомпания

Крупнейший пакет акций у РФ в лице Росимущества (35.91%)

Не очень понимаю суть твоей претензии

Меня забавляет твоё «это другое». Когда условный «Отечественный линукс» получает контракт - это по твоему однозначный попил бюджета. Когда некая кипрская конторка получает 1.6 лярда от корпорации с дотациями из бюджета - это «обычная партнёрка». Хорошо, если это обычный случай, покажи контракт от РТК на лярд с любым другим разработчиком игр.

По последней ссылке вообще какая-то бредятина

Звучит как «вы всё врёти».

Вообще, конечно, совсем не удивительно для конторки, которая судилась с бывшими сотрудниками за опенсурс движок.

fluorite ★★★★★
()
Ответ на: комментарий от hard-pokemon

была децентрализация

стабильная же и однородная, не

У нас и так ядро - монолит, не надо из сообщества такое же делать.

Пусть там наверху пилят лярды, и нам немного отсыпется, как в святые 2008-2012е.

i_am_not_ai
()
Ответ на: комментарий от LongLiveUbuntu

ты должен иметь сертификат об отсутствии в нем проблем безопасности и недокументированных возможностей

То есть если меня взламывают по найденному через год CVE, то эта контора выдавшая сертификат, гуськом отправляется на 10 лет в тюрьму, да ? :))

Потому что если они просто квакнут что «не в состоянии всё отыскать» - то смысл такого сертификата стремится к нулю, а значит это просто распильная система по продаже индульгенций.

windows10 ★★★★★
()
Ответ на: комментарий от windows10

Нет, вроде схема другая. Если тебя ломают без сертификата - гуськом на 10 лет идёт директор. Если с сертификатом - гуськом идёт ИБшник :)

fluorite ★★★★★
()
Последнее исправление: fluorite (всего исправлений: 1)
Ответ на: комментарий от hobbit

Например, затем, что пуллреквесты могут и не принять, и не всегда по техническим соображениям.

В каком смысле не принять ? Когда кто-то выкладывает дыру типа «ребзя, если записать с под гостевого пользователя туда-то туда-то, то можно навернуть ядро» - это могут не рассматривать ?

Ну тогда грош цена системе опенсорса, где над ошибками работают все, и надо мигрировать опять в проприетарщину, там хоть в прибыли заинтересованы.

windows10 ★★★★★
()
Ответ на: комментарий от windows10

Тем не менее для работы с конфиденциальной информацией сертификат должен быть. Тебе просто не позволят заниматься бизнесом, связанным с такими данными, частник ты или нет.

LongLiveUbuntu ★★★★★
()
Последнее исправление: LongLiveUbuntu (всего исправлений: 1)
Ответ на: комментарий от fluorite

Нет, вроде схема другая. Если тебя ломают без сертификата - гуськом на 10 лет идёт директор. Если с сертификатом - гуськом идёт ИБшник :)

К сожалению с оглядкой на аналогии в других «сертифицируемых» сферах, например на пожарную безопасность - идет все таки директор.

windows10 ★★★★★
()
Ответ на: комментарий от LongLiveUbuntu

Тем не менее для работы для работы с конфиденциальной информацией сертификат должен быть. Тебе просто не позволят заниматься бизнесом, связанным с такими данными, частник ты или нет.

Это я в курсе. Очередное место для распила.

windows10 ★★★★★
()
Ответ на: комментарий от LongLiveUbuntu

Нет, это закон и его нужно соблюдать.

Закон это инструмент для достижения цели общественного блага, и не более того. Закон не преследующий такую цель или ее не выполняющий - либо атавизм, либо очковтирательство, тут уж выбери что тебе ближе.

windows10 ★★★★★
()
Ответ на: комментарий от fluorite

Когда условный «Отечественный линукс» получает контракт - это по твоему однозначный попил бюджета.

Когда у проекта настолько размытые цели и он целиком и полностью делается под эгидой государства - да, это попил. Точно так же, как астроальты в школах и прочие редхаты с нескучными обоями (МСВС, да).

Когда некая кипрская конторка получает 1.6 лярда от корпорации с дотациями из бюджета - это «обычная партнёрка»

30 миллионов долларов это не то чтобы очень много за привлечение пары сотен тысяч новых клиентов.

Хорошо, если это обычный случай, покажи контракт от РТК на лярд с любым другим разработчиком игр.

А другие вообще предлагают какое-то похожее решение с хоть как-то сравнимым выхлопом?

Звучит как «вы всё врёти».

Вот ты сейчас звучишь как «не прочитал дальше заголовка».

Вообще, конечно, совсем не удивительно для конторки, которая судилась с бывшими сотрудниками за опенсурс движок.

Ты точно знаешь, в чем была суть тяжбы?

leave ★★★★★
()

Я думаю надо идти дальше и защитить российских пользователей GNU/Linux запретив непроверенные консорциумом версии ядра. Кто вообще проверял эти ваши убунты на предмет уязвимостей и безопасности персональных данных граждан РФ? Никто. Так почему возможность скачать потенциально опасные дистрибутивы еще на заблокирована в России?

mbivanyuk ★★★★★
()

ИМХО нужно;

 - поиск и разбор существующих exploit (поможет понять "что плохо");

 - анализ core Linux;

 - создать группу спецов, которые будут вести поиск способов взлома, ...;

 - анализ контента сайтов и публикаций, связанных с безопасностью;

 - не лишним будет изучить exploit для взлома Windows;

Без создания группы программистов, которые будут решать этот вопрос, всё сведётся лишь к бесконечному «обсуждению» и бодрым рапортам об успехах.

А спецы то уже есть - «Лаборатория Касперского».

Защиту от «дураков» можно сделать.

Forum0888
()
Последнее исправление: Forum0888 (всего исправлений: 5)
Ответ на: комментарий от Forum0888

поиск и разбор существующих exploit

Нашли, разобрали, какие следующие шаги ?

анализ core Linux

Поанализировали, даже узнали что core Linux многозадачное. Зачем ?

создать группу спецов, которые будут вести поиск способов взлома

Спецы и так могут вести поиск способов взлома, для этого создавать ничего не нужно. Но ладно, нашли способ взлома - какие следующие шаги ?

анализ контента сайтов и публикаций, связанных с безопасностью

Анализ на что ?

не лишним будет изучить exploit для взлома Windows

Ну хорошо, тебе положим это интересно. А соседке швее Дарье - зачем оплачивать твои капризы ?

- - -

В общем это я к чему веду. Без рычагов влияния на искомый продукт - все что ты описал не имеет смысла. Так ты можешь много чего в мире поанализировать, но зачем.

windows10 ★★★★★
()
Ответ на: комментарий от Aceler

Ну да, ты же всего лишь занимаешься деятельностью обусловленной целиком и полностью импортозамещением. Это никак не связано ни с хлевом, ни тем более с бойней, это другое.

А чтобы не видеть хлев и бойню, надо отказаться и от американской пропаганды, и от чешской, и от немецкой, и от арабской, и от пророссийской. Это тогда, получается, эксклюзивно перейти на твою, кремлевскую диету, а там говно ещё и с реальностью не совпадает.

t184256 ★★★★★
()
Последнее исправление: t184256 (всего исправлений: 1)
Ответ на: комментарий от windows10

Заявленные цели в документе правильные, но нужно чтобы они были подкреплены конкретными целевыми цифрами, было фин. обеспечение этих цифр и прописаны исполнители и их ответственность. Пока это все выгладит «надо делать как надо, а как не надо делать не надо, будем совещаться 2 раза в год, чтобы все знали, что нужно делать как надо и не надо делать как не надо».

soomrack ★★★★★
()
Ответ на: комментарий от Mischutka

Пропал Калабуховский дом?

Что такое эта ваша разруха? Старуха с клюкой? Ведьма, которая выбила все стёкла, потушила все лампы? Да её вовсе и не существует. Что вы подразумеваете под этим словом? … Это вот что: если я, вместо того, чтобы оперировать каждый вечер, начну у себя в квартире петь хором, у меня настанет разруха. Если я, входя в уборную, начну, извините за выражение, мочиться мимо унитаза и то же самое будут делать Зина и Дарья Петровна, в уборной начнётся разруха. Следовательно, разруха не в клозетах, а в головах.

XOXO
()
Ответ на: комментарий от leave

Уверен, что хочешь продолжать читать «дальше заголовка»? Начинает всплывать разное интересное:

аудит показал, что правительство предоставило гражданство лицам, выдавшим за инвестиции пустые земельные участки, недостроенные дома и офисы и подземные паркинги. Речь шла в том числе о Wargaming.

На Кипре нужно иметь связи — остров небольшой, народу мало и сервис, особенно в госструктурах, оставляет желать лучшего, объясняет собеседник vc.ru в Wargaming, пожелавший не раскрывать своё имя. Поэтому в компании «на зарплате» состоят люди с опытом работы в госучреждениях республики. Например, человек, двадцать лет отработавший в миграционном департаменте и сохранивший хорошие отношения с действующими сотрудниками.

Борзыми щенками. Это совсем иное дело.

fluorite ★★★★★
()
Ответ на: комментарий от t184256

Ты б попробовал чуть менее увлеченно прихлебывать из госкормушки

По последним публичным данным (2020 год) оба юрлица, где товарищ @Aceler соучредитель, не зарабатывают вообще ни хрена.

AP ★★★★★
()
Ответ на: комментарий от Aceler

А там есть вакансии? Это же консорциум юрлиц.

«Новая структура будет работать на базе созданного ранее Технологического центра исследования безопасности ядра Linux.»

Для меня тут «не всё так однозначно». Если это консорциум юр лиц, то чего его создавать на базе чисто технической организации, в институте системного программирования Российской академии наук? Могу лишь предположить, что техническое подразделение тоже будет создано, а юр лица будут его финансировать. Но, учитывая конкретный список этих юр лиц, вроде бы они и так соответствующим инженерным составом располагают.

anonmyous ★★
()
Ответ на: комментарий от t184256

Это на русском «я не сижу на госконтрактах».

Aceler ★★★★★
()
Ответ на: комментарий от anonmyous

Если это консорциум юр лиц, то чего его создавать на базе чисто технической организации, в институте системного программирования Российской академии наук?

Моя версия простая, и я её уже писал. Между соучредителями консорциума наблюдаются некоторые, скажем так, тёрки. ИСП РАН здесь выступает как независимая площадка для обмена мнениями и техническими вопросами.

Поскольку не предполагается дополнительного финансирования консорциума, то и вакансий быть не должно.

Aceler ★★★★★
()
Ответ на: комментарий от Aceler

Ну не то, чтоб я прям пытался оскорбить, но идею остановиться на победе избирательной слепоты над корявыми намеками поддержу.

t184256 ★★★★★
()

Федеральная Служба Безопасности ядра Linux?

Tigger ★★★★★
()
Ответ на: комментарий от t184256

Ну вот смотри. Человек сам про себя пишет:

Директор фирмы по обучению и внедрению решений на базе СПО на предприятиях Нижнего Новгорода и окрестностей. Профессионально внедряем Linux с 2008 года.

Но выручка в обеих его компаниях с 2015 года к 2020 году включительно упала практически до нуля (как сейчас – ХЗ).

Ещё он пишет:

Преподаватель в компаниях Softline Education, Академия АйТи, Базальт СПО. Сертифицированный преподаватель Базальт СПО. Лучший преподаватель Базальт СПО 2021 г.

Но в Академии АйТи и в Базальте в этом году нет курсов с его участием, будет два однодневных курса в Софтлайне в сентябре. Больше в паблике ничего сходу не вижу. Больше похоже на то, что у человека есть основная работа и ещё доля в паре компаний, которые, вероятно, не приносят ни выручки, ни прибыли. В целом, ничего необычного. Не он первый, не он последний.

Выводы про госконтракты у меня в голове из всего этого никак не складываются, тем более, что участия в гостендерах у обеих юрлиц ноль. Пророссийскую демагогию к сидению на госзаказах я приравнять не могу. Я одно время работал в компании, где гендир жёстко топил за ВВП, при том что у него госзаказа в структуре выручки исторически было ноль целых хер десятых процента. Так что не показатель, не показатель.

В остальном, какая, нахрен, разница, чем они там развлекаются с линуксами? Ни ты, ни я пользоваться этим не будем.

AP ★★★★★
()
Последнее исправление: AP (всего исправлений: 1)
Ответ на: комментарий от windows10
  1. Затем, что в рамках определенной идеологии аудит, который проводят зарубежные псоглавцы и безродные космополиты - безблагодатен, в отличие от аудита, который проводят люди верные, надёжные и бдящие против умышлений учинить что нехорошее.

  2. Попилить же. Много денег.

  3. Пиплы из пунктов 1 и 2 сливаются в экстазе.

  4. ???

  5. PROFIT!

IRASoldier ★★
()
Ответ на: комментарий от leave

Не трясись. Лучше расскажи как получилось, что тебя в Вильнюс перевезли, а несколько сотен твоих коллег на мороз выставили.

fluorite ★★★★★
()
Ответ на: комментарий от fluorite

несколько сотен твоих коллег на мороз выставили

Видимо, показали себя недостаточно пламенными холопами белого господина.

alex1101
()
Последнее исправление: alex1101 (всего исправлений: 1)
Ответ на: комментарий от anonmyous

Подключение не защищено Злоумышленники могут пытаться похитить ваши данные с сайта portal.linuxtesting.ru (например, пароли, сообщения или номера банковских карт). Подробнее…

NET::ERR_CERT_AUTHORITY_INVALID

Chromium

Mischutka ★★★★★
()
Ответ на: комментарий от Aceler

Поскольку не предполагается дополнительного финансирования консорциума, то и вакансий быть не должно.

Из короткого описания новости, всё это не следует. Тут вопрос простой: если создаётся новая, очень масштабная активность (а аудировать ядрёный код и все его изменения, отслеживать конкретные взломы и зиро-дейки, писать чекеры и тесты - гигантская активность), то должны быть и вакансии. Если не у самого консорциума, то хотя бы у его членов. Хотя, если гос финансы не будут привлечены, то тогда, может и нет. :)

anonmyous ★★
()
Ответ на: комментарий от anonmyous

У членов запросто могут появиться вакансии, тут согласен.

Aceler ★★★★★
()
Ответ на: комментарий от fluorite

Эм, пять зарплат в лицо - это «на мороз»? Но да ладно, расскажу: сократили департамент внутренней разработки (те, которые пилили всякие шарепоинты) и часть разработки игр - в основном джунов. Бэкофис в полном составе: уборщицы, охранники, инструкторы качалки, закупщики еды, бухгалтерия, кадры. Кто-то сам не захотел переезжать.

leave ★★★★★
()

Прикольно. Танцпольный пост пропустили, а каменты трут. Л — логика.

AP ★★★★★
()
Ответ на: комментарий от windows10

Объединять усилия, не решать одинаковые проблемы, ускорять интеграцию заплаток. Также возможно объединить кадры, т.е. в рамках консорциума у команд будут постоянные связные, которые будут координировать работу. По сути это эдакий вариант как можно увеличить эффективность не сливаясь в корпорацию, но согласуя сопоставимый штат сотрудников.

AKonia ★★
()

В России создали консорциум для исследования безопасности ядра Linux

Немножко о том, почему Linux уязвим (остальное сами домыслите).

В десктоп ВАЛОМ того, что поможет взломать Linux

Знаете что такое решето?

Например.

Вы видели в Windows хоть одно приложение для установки, которого нужно тянуть извне, какие то библиотеки, да ещё и перекомпилировать их.

Бред же полнейший и подобного бреда в Linux не мало.

Forum0888
()
Последнее исправление: Forum0888 (всего исправлений: 4)
Ответ на: комментарий от DrBrown

Я бы с удовольствием перебанил всех танцоров, но тогда, боюсь, лор опустеет. Поэтому приходится сохранять такие вот треды и чистить-чистить-чистить.

leave ★★★★★
()
Ответ на: комментарий от leave

Я бы с удовольствием перебанил всех танцоров

С Кремля начни :)

AP ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.