Автоматизация• Информационные технологии » Автоматизированная система и
экономика• Экономика для
обеспечения жизненного цикла безопасного ПО
Автоматизация• Информационные технологии » Автоматизированная система и экономика• Экономика для обеспечения жизненного цикла безопасного ПО
Борис Позин , 30/10/24
Проблема обнаружения уязвимостей и недекларированных возможностей
специалистами в жизненном цикле ПО автоматизированных систем• Информационные технологии » Автоматизированная система становится все
более актуальной в последние годы, особенно в связи с активизацией работ по
импортозамещению• Экономика » Мировая экономика » Международная торговля » Импортозамещение
• Экономика » Международная торговля » Импортозамещение
• Политика » Геополитика » Международные отношения » Международная торговля » Импортозамещение
• Политика » Экономическая политика » Импортозамещение
• Торговля » Международная торговля » Импортозамещение, использованием свободного ПО• Информационные технологии » Информатика » Программирование » Программное обеспечение » Свободное программное обеспечение
• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Программирование » Программное обеспечение » Свободное программное обеспечение
• Высокие технологии » Информационные технологии и телекоммуникации » Программирование » Программное обеспечение » Свободное программное обеспечение, развитием масштабных проектов
систем корпоративного уровня• Метрология » Измерительные приборы и оборудование » Уровень (инструмент) в различных отраслях народного хозяйства.
Автор: Борис Позин , технический директор ЗАО "ЕС-лизинг", д.т.н., профессор
базовой кафедры “Информационно-аналитические системы• Информационные технологии » Информационно-коммуникационные технологии » Информационно-телекоммуникационные системы » Информационно-аналитическая система” МИЭМ НИУ ВШЭ• Объект организация » Организации по алфавиту » Организации на Мо » Московский институт электроники и математики им. А.Н. Тихонова
• Объект организация » Организации по алфавиту » Организации на Вш » Высшая школа экономики (НИУ ВШЭ) » Московский институт электроники и математики им. А.Н. Тихонова, главный
научный сотрудник ИСП РАН• Объект организация » Организации по алфавиту » Организации на Ин » Институт системного программирования РАН
Особенностью проектов во многих случаях являются масштаб разработки и сложная
архитектура ПО, состоящего из нескольких взаимодействующих доверенных
приложений• Информационные технологии » Автоматизированная система, разработанных разными командами, возможно, на разных языках
программирования• Информационные технологии » Информатика » Программирование » Программное обеспечение » Языки программирования
• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Программирование » Программное обеспечение » Языки программирования
• Высокие технологии » Информационные технологии и телекоммуникации » Программирование » Программное обеспечение » Языки программирования. Ожидаемая длительность эксплуатации таких систем составляет
десятки лет при необходимости внесения изменений в доверенное ПО без остановки
его использования.
Эти факторы действуют одновременно, в разной степени для разных отраслей и
требуют отработки вопросов создания такого ПО как технологически (на уровне• Метрология » Измерительные приборы и оборудование » Уровень (инструмент)
регламентации процессов), так и на уровне• Метрология » Измерительные приборы и оборудование » Уровень (инструмент) формирования инструментальных
комплексов для автоматизации• Информационные технологии » Автоматизированная система. Такие автоматизированные технологические
процессы должны функционировать в течение длительного периода и в
разрабатывающей, и в эксплуатирующей организациях.
Нормативная база (ГОСТ Р 56939–2016 и последующие по этому направлению от ТК
362) и уровень• Метрология » Измерительные приборы и оборудование » Уровень (инструмент) освоения специалистами отрасли современных методов разработки
предполагают, что существенное повышение качества обнаружения уязвимостей и
недекларированных возможностей может быть достигнуто на основе применением
комплекса инструментальных средств как разработчиками, так и специалистами,
осуществляющими интеграцию, эксплуатацию и сопровождение прикладного ПО• Информационные технологии » Информатика » Программирование » Программное обеспечение
• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Программирование » Программное обеспечение
• Высокие технологии » Информационные технологии и телекоммуникации » Программирование » Программное обеспечение.
Стратегически внедрение автоматизированного технологического процесса
позволит:
Получить инструменты для быстрого и глубокого анализа наличия уязвимостей в
разрабатываемом, сопровождаемом или развиваемом приложении• Информационные технологии » Автоматизированная система, одновременно
повысив квалификацию персонала, который этим занимается.
Разработать и реализовать системное решение в области реализации доверенного
ПО.
Поставить под контроль количество и качество заимствованных компонентов
свободного ПО• Информационные технологии » Информатика » Программирование » Программное обеспечение » Свободное программное обеспечение
• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Программирование » Программное обеспечение » Свободное программное обеспечение
• Высокие технологии » Информационные технологии и телекоммуникации » Программирование » Программное обеспечение » Свободное программное обеспечение и используемых библиотек Open Source• Информационные технологии » Информатика » Программирование » Программное обеспечение » Свободное программное обеспечение » Политика Открытого Кода
• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Программирование » Программное обеспечение » Свободное программное обеспечение » Политика Открытого Кода
• Высокие технологии » Информационные технологии и телекоммуникации » Программирование » Программное обеспечение » Свободное программное обеспечение » Политика Открытого Кода.
Вместе с тем средства автоматизации• Информационные технологии » Автоматизированная система, доступные на рынке, являются довольно
сложными с точки зрения их освоения, осмысления их технологических
особенностей и возможности использования в конкретной организации. К тому же в
настоящее время в отраслях пока еще не образованы службы, ответственные за
технологию создания, сопровождения и развития доверенного ПО. Они еще только
формируются с учетом особенностей технологии ведения работ, возможностей
инструментальных средств и режимов их использования.
Стоит отметить, что инструментальные средства покупаются для проекта на все
время жизненного цикла ПО: то есть на 10–20 лет в зависимости от типа
разрабатываемой системы. С этой точки зрения приобретение комплекса
инструментальных средств – это стратегические инвестиции в технологию
жизненного цикла доверенного ПО, а также и в его качество.
Но в настоящее время для решения задачи поиска уязвимостей заказчик, по сути,
может приобрести только набор инструментов, который ему самостоятельно
придется встраивать в свою инфраструктуру, попутно ее совершенствуя. Отдельные
инструментальные средства необходимо интегрировать между собой в рамках
технологического процесса. Это весьма трудоемкая работа, которая требует
довольно высокой квалификации системных администраторов, технологов по
разработке безопасного ПО и по изучению инструментальных средств.
Естественно, инструментальные средства внедряются медленно, снижая ожидаемую
эффективность на начальном этапе.
Возможен ли другой подход?
Альтернативным решением может стать продукт, в котором заранее интегрированы
несколько инструментальных средств. Интеграция предполагает согласование
типовых технологических сценариев применения инструментальных средств при
выполнении некоторых фрагментов технологического процесса, актуальных для
типовых архитектур• Архитектура » Типовая архитектура ПО и стадий его сопровождения или развития. В таком случае
заказчику не нужно осуществлять работы по интеграции инструментальных средств,
поскольку это уже сделано поставщиком• Экономика » Бизнес » Поставщик с участием опытных системных
администраторов, вендоров• Экономика » Бизнес и подтверждено комплексными тестами.
Дополнительно можно получить от интегратора курсы переподготовки и пилотные
проекты на собственных примерах.
Такое решение реализовано в рамках разработанной совместно компанией ЕС-лизинг
(интегратор) и ИСП РАН• Объект организация » Организации по алфавиту » Организации на Ин » Институт системного программирования РАН автоматизированной системы• Информационные технологии » Автоматизированная система "Центр Кибербезопасности"
(АС ЦКБ). АС ЦКБ является результатом интеграции преимущественно отечественных
инструментальных средств компаний ИСП РАН• Объект организация » Организации по алфавиту » Организации на Ин » Институт системного программирования РАН, "Профископ", работающих в средах ОС
Альт• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Программирование » Платформы программирования » Операционные системы » Альт (операционная система)
• Информационные технологии » Информатика » Программирование » Платформы программирования » Операционные системы » Альт (операционная система)
• Высокие технологии » Информационные технологии и телекоммуникации » Программирование » Платформы программирования » Операционные системы » Альт (операционная система) и Astra Linux, а также включает необходимые официальные версии
компиляторов С, С++, Java• Информационные технологии » Информатика » Программирование » Java
• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Программирование » Java
• Высокие технологии » Информационные технологии и телекоммуникации » Программирование » Java (Axiom JDK• Информационные технологии » Информатика » Программирование » Java » Java Development Kit
• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Программирование » Java » Java Development Kit
• Высокие технологии » Информационные технологии и телекоммуникации » Программирование » Java » Java Development Kit), Go, Python. В качестве СУБД• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Базы данных
• Высокие технологии » Информационные технологии и телекоммуникации » Базы данных
используется PostgreSQL• Информационные технологии » Информатика » Программирование » Программное обеспечение » Свободное программное обеспечение » PostgreSQL
• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Базы данных » PostgreSQL
• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Программирование » Программное обеспечение » Свободное программное обеспечение » PostgreSQL
• Высокие технологии » Информационные технологии и телекоммуникации » Программирование » Программное обеспечение » Свободное программное обеспечение » PostgreSQL
• Высокие технологии » Информационные технологии и телекоммуникации » Базы данных » PostgreSQL Enterprise.
АС ЦКБ оснащена комплектом документации, в том числе технологической.
Разработаны учебные курсы по применению основных инструментальных средств,
готовится их версия для преподавания специалистами МИЭМ НИУ ВШЭ• Объект организация » Организации по алфавиту » Организации на Мо » Московский институт электроники и математики им. А.Н. Тихонова
• Объект организация » Организации по алфавиту » Организации на Вш » Высшая школа экономики (НИУ ВШЭ) » Московский институт электроники и математики им. А.Н. Тихонова с выдачей
государственных сертификатов о прохождении программ обучения и переподготовки.
В процессе обучения все участники работают на защищенном стенде и используют
тестовые примеры на вышеуказанных языках общим объемом порядка 5,5 млн строк.