Переход на отечественный или общественный софт

Британская компания Canonical, разработчик популярного Linux-дистрибутива Ubuntu, официально уведомила о том, что прекращает оказывать услуги предприятиям в России, а также поддерживать дальнейшие партнерские отношения

Red Hat принадлежит IBM, которая приостановила своё присутствие в РФ.
Американская компания Red Hat полностью заблокировала все контакты с партнёрами из РФ, а также заморозила все совместные разработки и многие другие направления работы. Нужно понимать, что в данном случае речь идёт о блокировке самого популярного и продвинутого дистрибутива для корпоративного сегмента и профессионалов - Red Hat Enterprise Linux (RHEL). Это не только первый подобный дистрибутив Linux, но и самый известный и скачиваемый.

Любой предприниматель, способный нанять примерно 50 разработчиков и тестеров, может легко стать "Распорядителем программного обеспечения Linux" - терминология Шмяка.

Надо просто один раз взять текущую версию исходного текста, проверить на закладки и проблемы с безопасностью кода. Потом скачивать изменения (лучше от нескольких групп разработчиков), проверять их и потом решать - их добавлять в свой код или нет, и выпускать таким образом новые обновления.

Ничего чересчур сложного здесь нет.

Если нет ничего сложного, то почему этого до сих пор не сделано? Почему обязательно нужно было развивать не свои платформы, а те, которые принадлежат английским и американским фирмам? IBM бедствуeт и ей обязательно нужно помочь... Так?

В 2016 году в IBM сообщили о создании первого в мире 5-нанометрового чипа.

\\\\\

В России разработан первый отечественный контроллер для SSD-накопителей. Его создала компания Kraftway. Первые образцы микросхемы выпустила фабрика TSMC, отказавшаяся работать с Россией. Серийное производство чипов начнется в 2023 г. на заводе китайской компании YMTC. В России выпуск невозможен ввиду
Микросхема получила название К1942ВК018. В настоящее время построенные на ней SSD-драйвы работают в различных системах, собранных на отечественных процессорах «Эльбрус» компании МЦСТ.
Накопитель ASIC v1 первого поколения, построенный на K1942VK018. Данный контроллер производится по 28-нанометровому техпроцессу – его выпуском занималась тайваньская компания TSMC.
Контроллер поддерживает восемь каналов памяти, а также декодирование LDPC, RAID массивы, плюс в нем реализована возможность контроля и управления питанием.
Отечественный SSD в виде платы расширения с российским контроллером

Выпускать K1942VK018 в России нельзя – в стране нет необходимого для этого оборудования.
В каталоге Kraftway есть два SSD-накопителя – ASIC v1 и ASIC v2. Оба выполнены в виде платы расширения PCI-E 4.0. SSD-драйвы такого форм-фактора нечасто используются в настольных ПК, а в некоторых из них, например, в неттопах, под них и вовсе нет места.

Разработчики заверили, что K1942VK018 может использоваться в SSD различных форматов, включая наиболее востребованный пользователями М.2 – эти модули используются и в настольных ПК, и в ноутбуках, к тому же на их основе собираются портативные носители информации. Потребление энергии в случае K1942VK018 не превышает 4 Вт.

На что способны накопители
Дуэт SSD-накопителей Kraftway представлен одной базовой и одной топовой моделью. Линейку открывает драйв ASIC v1 в виде платы HHHL, которую разработчик оснащает модулями флеш-памяти 2D MLC и 3D MLC в зависимости от модификации. Также доступна версия с pMLC.

ASIC v1 подключается по PCI-E 4.0 x4 и может вмещать в себя до 2 ТБ информации. За счет выбранного интерфейса подключения он работает быстрее в сравнении с классическими SATA-накопителями, выдавая 830 МБ/с и 680 МБ/с при чтении и записи соответственно. Производительность накопителя составляет до 55000 операций ввода-вывода в секунду (IOPS) при записи и 65000 IOPS при чтении.

ASIC v2 имеет более выдающиеся характеристики. В частности, его производительность находится на уровне 200000 IOPS (чтение) и 150000 IOPS (запись), а скорость работы составляет 1500 МБ/с при чтении и записи. Это достигается, в том числе, и за счет интерфейса PCI-E 4.0 x4.

Вместительность ASIC v2 достигает 16 ГБ. Используемые модули памяти – 3D MLC, TLC и QLC NAND.

В ASIC v2 и ASIC v1 наряду с российским контроллером, выпускающимся в Тайване, используется флеш-память иностранных вендоров. В зависимости от модификации на плате могут быть распаяны модули производства японской Kioxia, американской Micron (не путать с российским заводом «Микрон») и китайской YMTC.
«В представленных образцах накопителей первого поколения устанавливаются микросхемы NAND-flash памяти производства российской GS Nanotech, которые содержат кристаллы Micron и Kioxia, – сообщили CNews представители Kraftway. – В накопителе задействован интерфейс PCIe x4 gen.2 (аппаратная реализация NVMe 1.2), а максимальная емкость достигает 2 ТБ. Скорость последовательного чтения/записи превышает 800 МБ/с».

«Все этапы разработки микросхемы контроллера ТНИ (твердотельного накопителя информации - прим. CNews): создание математической модели, проектирование архитектуры и алгоритмов работы, разработка всех основных IP-блоков и интерфейсов, реализация от прототипа до физического дизайна – были проведены в России, – заявили они CNews. – Разработка ASIC v1 длилась четыре года с конца 2015 г. до конца 2019 г. Иностранные специалисты не привлекались. Математические алгоритмы и ядро SSD разрабатывали с привлечением научных сотрудников МГУ. Часть периферийных и внутренних IP-блоков разрабатывали специалисты Kraftway».

«Производство твердотельных дисков осуществляется на заводе Kraftway в Обнинске. Серийное производство первого поколения микросхем контроллера было приостановлено после выпуска первой партии, поскольку цена памяти MLC в пересчёте на 1 ГБ в несколько раз выше TLC, который ASIC v1 не поддерживает, – подытожили представители разработчика».

Стоимость накопителей к моменту выхода материала не раскрывалась. Kraftway намерена наладить серийный выпуск своих контроллеров в 2023 г. По информации Habr, выпуском чипов с высокой долей вероятности займется китайская YMTC, контракт с которой уже заключен.

В распоряжении YMTC есть единственный завод в Ухане (Китай), способный выпускать до 100 тыс. 300-миллиметровых кремниевых пластин в месяц. В настоящее время компания строит вторую фабрику в том же городе, которая должна открыться к концу 2022 г. и обеспечить производство еще 200 тыс. таких пластин в месяц.

Почему не сделано? Астро-Линукс - как раз пример такой компании.

А сейчас их будет все больше и больше.

У меня ощущение дежавю. Но это же всё уже было! Лет пятнадцать назад была такая же Альт Линукс. Она и сейчас есть. Но это же всё сырое! Серьёзно с Астрой никто не работает. Её заточили на безопасности и всё. Стоп кран!
И не нужно больше и больше операционных систем. Нужна всего одна для серверов и одна для домашнего пользования. Может Астра для серверов и сгодится, не знаю, но для домашнего компьютера её использовать? Зачем? Правда я ей не пользовался. Может установлю на досуге отпишусь. Но из того что про неё пишут восхищений никто не писал.

1) Все правильно - до 2014 было общее ощущение (что в обществе, что во власти) - а нахрена нам свои операционки, свои базы данных, свои приложения - когда дешевле и лучше взять западные. И вообще - международная кооперация рулит!

2) Но даже еще до 2014 многие умные люди говорили (в том числе - Саруман на этом форуме) , что это не так, что надо отказываться от виндов и других западных операционок, БД и т.д. и надо развивать свое. По причине безопасности и независимости (суверенности) государства. Но общество и власти слушали всяких либерастов типа иХорька, которые вовсе дудели о международном сотрудничестве.

3) И вот только сейчас до некоторых начинает доходить - и то пока плохо, что в тех западных системах, которые куплены или сворованы, полно закладок, которые приводят к очень серьезным утечкам информации. Кроме того, они могут быть отключены в нужный момент. Т.е. нужен не просто свой софт, а именно проверенный софт. Астро-Линукс - это пример проверенного софта. Я не могу оценить, насколько хорошо они проверили исходный текст Линукса, прежде чем сертифицировать его для работы в РФ - это отдельная песня, но по крайней мере осознана необходимость такого шага.

4) Такие продукты нужны не только как операционка для серверов. Нужны проверенные отечественные продукты для настольный систем и лаптопов, для мобильных устройств, для баз данных, для многих и многих других прриложений. Везде - где используется конфиденциальная или закрытая информация - везде требуется проверенный безопасный софт.

5) Пока в РФ практически отсутвует общая культура разработки безопасного софта. Кроме нескольких спец организаций a-la НИИ Квант и подобных. Это просто ужасно. Разумеется, это очень хорошо, что люди во власти стали пока только высказываться по этому вопросу, но пока это в основном только сотрясение воздуха.

6) Подозреваю, что очень многие провалы СВР и громкие разоблачения котов-мудазвонов (БеллингКэтс) - это все результаты действия закладок в западных программах.

А ничего что это ДЕБИАН?

Тама даже ХЕЛПА на русском нет

При том Дебиан бесплатный а Астра как Винда 10 стоит...

Пистец мпециалисты из ИТ...

Гнать таких метлой надо параши чистить на вокзалах...

_________________

не трынди, а. Астра есть бесплатная а есть сертифицированная. Может поделишься скока винда сертифицированная стоила?

_________________
...для достижения своих собственных эгоистических, хорьковых целей... (с) ВВП

ХЗ... У нас лицензия на 2500 машин...

уси вопросы к бухгалтеру...

Если отдельно покупать - где то 24 000 профешионал стоить...

_________________

А не проеще ДЕБИАН десктоп сразу накатить...?

_________________

Я лет 15 назад поучаствовал в создании одного из клонов, ASPLinux
Ща уже не знаю, жив он или нет

Один из главных разработчиков хохол был, вот он название первой версии протолкнул.
Потом его подвинули нах

Всего с 2001 года были выпущены следующие версии дистрибутива:

ASPLinux 7.1 Mria (16 апреля 2001)
ASPLinux 7.2 Baikal (5 декабря 2001)
ASPLinux 7.3 Vostok (15 августа 2002)
ASPLinux 9 Ural (12 мая 2003)
ASPLinux 9.2 Siberia (25 февраля 2004)
ASPLinux 10 Karelia (23 декабря 2004)
ASPLinux 11 Seliger (6 марта 2006)
ASPLinux 11.2 Ladoga (9 ноября 2006)

С сертификатом ФСТЭКа хоть черта лысого накатывай )

_________________
...для достижения своих собственных эгоистических, хорьковых целей... (с) ВВП

И какой Линукт лучше для юзеров? минт?

Лучший любой... А ядро мона и перекомпилировать...

Главное чтоб у юзера мозх был...

_________________

18 убунту не плохая

_________________
...для достижения своих собственных эгоистических, хорьковых целей... (с) ВВП

Минт норм

Открытый всем код: хакеры нацелились на уязвимости в российских программах
SwordFish: в 33% российских программ на базе OpenSource есть критические уязвимости
Роман Кильдюшкин
20 июля 2022

Треть российских программ на базе открытого исходного кода содержат критические уязвимости, позволяющие хакерам удаленно воздействовать на работу компьютеров — об этом «Газете.Ru» рассказали в компании SwordFish Security, которая проанализировала более 300 различных отечественных проектов, использующих открытый исходный код. Открытым кодом называют фрагменты программ, которые пишутся «всем миром» для экономии денег и времени. По словам специалистов, каждая вторая программа в России создается именно таким образом. ИБ-компании отмечают, что в 2022 году проблема открытого кода стало очень острой: мало того, что российские разработчики стали чаще им пользоваться, так еще и хакеры активно используют уязвимости в открытом коде.

Создавая программы, разработчики часто интегрируют в свои приложения или веб-сервисы фрагменты уже написанного кем-то кода, так называемого OpenSource или открытого кода. С его помощью программы как конструкторы собираются из компонентов с разными функциями: открыть, закрыть, сохранить, отправить и так далее. Однако у такого заимствования есть и обратная сторона. Используя чужой код, сложно узнать наверняка, какими еще функциями, кроме заявленных автором, он обладает. При этом среди незаявленных опций в коде могут находиться уязвимости. Внедряя в ПО фрагмент проблемного OpenSource-кода, программа-реципиент автоматически становится уязвимой.

Как рассказали «Газете.Ru» в ИБ-компании Swordfish Security, до 40% российских программ создаются с использованием OpenSource. Специалисты получили такие цифры, проанализировав более 300 проектов различных российских компаний преимущественно из финансовой сферы. По итогу анализа были обнаружены более 2,5 тыс. уязвимостей, из которых больше 1 тыс. оказались критическими, то есть подверженными удаленному воздействию со стороны потенциальных злоумышленников. В среднем, на каждый проанализированный Swordfish Security программный продукт пришлось по 22 уязвимости. На каждую команду разработчиков – по 79 проблем. «Такие опасные слабости потенциально открывают злоумышленникам возможности для реализации атак. К примеру, ряд критических уязвимостей, содержащихся в библиотеках (наборах фрагментов кода, – прим. ред.), позволяет выполнять произвольный код (в том числе с вредоносной функцией, – прим. ред) на стороне сервера, что может повлечь за собой его полную компрометацию и дать возможность попасть в сеть организации, – рассказал ведущий архитектор Swordfish Security Юрий Шабалин. По его словам, среди уязвимостей, обнаруженных в открытом коде, им часто встречались те, которые позволяют вызвать полный отказ в работе сервиса и парализовать работу крупной организации. Кроме того, ими были обнаружены фрагменты открытого кода, предоставляющие автору несанкционированный доступ к криптовалютным кошелькам пользователей.

Аналогичные данные «Газете.Ru» привели и в других ИБ-компаниях. Например, по данным руководителя технического взаимодействия с клиентами центра Solar appScreener компании «Ростелеком-Солар» Антона Прокофьева, OpenSource используется в каждом втором российском приложении. В свою очередь директор департамента разработки в компании R-Vision Евгений Федоров предположил, что данные Swordfish Security и вовсе преуменьшают масштаб проблемы. «На мой взгляд, большая часть ПО, разрабатываемая в России, в той или иной мере использует OpenSource-заимствования», – добавил он. Похожим образом высказался и директор по продуктам Positive Technologies Денис Кораблев. По его словам, OpenSource используется во всех известных ему крупных программах.

Самое слабое звено

В Swordfish Security отметили, что уязвимый открытый код встречался в российских продуктах разных категорий: мобильные приложения, десктопные программы и не только. Однако в подавляющем большинстве случаев они находили бреши именно в веб-сервисах. «Это обусловлено, как правило, большим количеством используемых библиотек. Ведь чем больше библиотек с открытым исходным кодом используется, тем вероятнее, что в них будут найдены уязвимости», – сказал Шабалин. Руководитель центра предотвращения киберугроз CyberART ГК Innostage Антон Кузьмин добавил, что в зоне риска в первую очередь находятся CMS-системы (ПО для управления контентом на сайтах, – прим. ред.), базы данных и сервисы автоматизации для ИТ-специалистов.

Аналогичным образом высказался и Евгений Федоров из R-Vision. «В связи со спецификой используемых инструментов разработки и языков программирования, наиболее подвержены уязвимостям в OpenSource-библиотеках веб-проекты: сайты, медиа-платформы, онлайн-СМИ и так далее», – сказал он.

Негативная динамика

В Swordfish Security отметили, что доля уязвимых OpenSource-компонентов в сети постепенно растет. Однако этот рост они называют естественным. «Количество библиотек растет – появляются новые, обновляются те, что уже существуют – и в любой из них может быть допущена уязвимость. Если посмотреть на статистику, то за прошлый год появилось более 6 миллионов новых версий библиотек, а суммарное количество компонентов, которые можно использовать, превысило отметку в 37 миллионов. При этом количество загрузок различных библиотек составило более 2,2 триллионов за 2021 год. С таким ростом и количеством неудивительно, что и количество уязвимостей растет прямо пропорционально», – сказал Шабалин. Аналогичного мнения придерживается и главный эксперт по исследованиям угроз информационной безопасности «Лаборатории Касперского» Игорь Кузнецов. По его словам, в масштабах всего мира проблема уязвимостей в OpenSource-компонентах год от года меняется, но незначительными темпами. В свою очередь Антон Прокофьев из «Ростелеком-Солар» отметил, что хоть в открытом коде уязвимостей и не становится сильно больше, сам открытый код стал чаще использоваться российскими компаниями, а следовательно проблема его уязвимости стала острее. Особенно острым этот вопрос, по его словам, стал в 2022 году — во многом из-за того, что из России ушли многие вендоры иностранного ПО, которое стало заменяться разработками на базе открытого кода.

«Это главная причина, почему востребованность OpenSource и его проникновение в ландшафт инфраструктуры предприятий в 2022 году возросли многократно. На волне спроса на OpenSource стали появляться случаи намеренного распространения уязвимостей в OpenSource-проектах по политическим мотивам. В России в этом году стало регистрироваться значительно больше инцидентов, связанных с уязвимостями в OpenSource-компонентах», – сказал эксперт. Вместе с тем он отметил, что во многих российских компаниях в этом году буквально был введен мораторий на обновление OpenSource-компонентов ПО, чтобы вместе с обновлениями в софт не проникли уязвимости. В свою очередь руководитель отдела продвижения продуктов компании «Код Безопасности» Павел Коростелев добавил, что проблему усугубляет использования ПО на базе открытого кода в критических сферах — в угоду работоспособности систем, но в ущерб их безопасности.

В заключение в SwordFish Security отметили, что нивелировать потенциальный урон от использования уязвимого кода в российском ПО может более активное привлечение к разработке агентов из сферы DevSecOps — специалистов, компетенция которых находится на стыке информационной безопасности и программирования. DevSecOps занимаются балансированием производственных процессов между скоростью и безопасностью. В рамках исследования в SworsFish Security выяснили, что включение DevSecOps-специалистов в разработку на постоянной основе позволяет вылавливать до «половины» уязвимостей и других проблем открытого кода на этапе создания программ.

НА САМОМ ДЕЛЕ - СТАТЬЯ ПОЛНОЕ ГАВНО. ДЕЛО ВОВСЕ НЕ В OPEN SOURCE. ПРОСТО НУЖЕН SECURE SDLC - SAST, DAST, SCA, CODE SIGNING, FFIEC, PEN TESTING.

Из Инета:

Венда рулит, а Линух сосет или о попытке поставить вирус на Линукс⁠⁠
Скачал вирусов себе на линух.
Распаковал.
Поставил под root.

Не завелись. Два часа гуглил, оказалось, вместо /usr/local/bin вирусы стали в папку /usr/bin на которую у юзера malware нет прав на запись, поэтому вирус не может создать файл процесса. Нашел на китайском сайте патченый .configure и .make, пересобрал, переустановил.

Вирус заявил, что ему необходима библиотека cmalw-lib-2.0. Оказалось cmalw-lib-2.0 идет под CentOS, а под убунту ее не было. Гуглил два часа, нашел инструкцию как собрать .deb пакет либы из исходников. Собрал, поставил, вирус радостно запустился, пискнул в спикер и сделал core dump.

Час чтения syslog показал, что вирус думал, что у меня ext4 и вызывал ее api для шифрования диска. В btrfs это api deprecated поэтому линукс, заметив это непотребство, перевел раздел в рид-онли.

В сердцах открыл исходники вируса, grep'нул bitcoin кошелек, отправил туда $5 из жалости и пошел спать...

_________________

У нас на факультете был студент, который писал вирусы под UNIX - вполне безобидные - просто буквы на экране начинали осыпаться.
Но количество вирусов под LINUX / UNIX и под Windows - 1 : 100,000.

Это один из серьезных факторов, почему ряд больших компаний в Силиконке ставит на лаптопы сотрудников LINUX.