Ершовская конференция. Теория, практика и безопасность

Ершовская конференция
Теория, практика и безопасность

Программисты со всего мира, специалисты в области фундаментальной и прикладной науки, собрались в конце июня в главном здании Российской академии наук на 11-ю Ершовскую конференцию PSI-2017, чтобы обсудить будущее отрасли, обменяться мнениями по наиболее актуальным вопросам, услышать доклады о новых открытиях в области теории программирования и новых информационных технологиях. Миссия этой конференции, проходящей с 1991 года, – поддержание баланса между теоретическими и практическими разработками в ИТ-сфере

Развитие ИТ сегодня происходит настолько бурно, что непосредственное общение между разработчиками программного обеспечения и представителями «чистой» науки становится насущной необходимостью. «Мы живем в атмосфере постоянной революции, это вообще особенность отрасли, – отмечает Арутюн Аветисян, директор Института системного программирования РАН. – Новые технологические прорывы происходят практически каждый день».

Немало нового происходит и в области фундаментальной науки, что еще раз подтвердила PSI-2017. «На конференции было озвучено много интересных идей, в том числе оригинальных мыслей относительно решения вопросов снесанкционированным доступом к программному коду через уязвимости, – говорит Динес Бьорнер, почетный профессор Технического университета Дании, один из основателей Ершовской конференций. – Это была настоящая встреча больших умов».

Вопросы безопасности программного обеспечения действительно стали одной из важнейших тем авторитетной встречи ученых. Так, безопасности облачных технологий был посвящен доклад Шрирама Раджамэни, управляющего директора Microsoft Research India. «В современном мире облачные вычисления используются все чаще, поскольку выгодны с точки зрения цены и удобства для пользователей, – рассказывает он. – Однако безопасность и конфиденциальность по-прежнему остаются главными проблемами. Мы хотим защититься от мощного противника, который может поставить под угрозу CloudOS, целостность и конфиденциальность пользовательских приложений. Безопасное аппаратное обеспечение и доверенные гипервизоры являются основным оружием в нашем арсенале защиты. Тем не менее остается открытым вопрос построения полноценного сервиса облачных вычислений с использованием доверенного безопасного аппаратного обеспечения, который одновременно был бы доверенным, высокопроизводительным и гарантировал безопасность вычислений конечного пользователя».

Шрирам Раджамэни представил на конференции проект Trusted Cloud, основанный на методах, охватывающих аппаратные средства, операционную систему, компиляторы и инструменты верификации.

В то же время остается открытой проблема защищенности программного кода и выявления его дефектов, уязвимостей, потенциально дающих возможность доступа к нему злоумышленникам. «Этот вопрос для нас – краеугольный камень, – говорит Арутюн Аветисян. – Разумеется, мы подходим к нему не с точки зрения «огораживания» файрволами (они, конечно, необходимы, но их недостаточно), а с точки зрения современных подходов, анализа кода, позволяющего минимизировать появление уязвимостей в процессе создания ПО и возможность их использования в процессе эксплуатации программ».

Этой теме было посвящено выступление ведущего научного сотрудника ИСП РАН Андрея Белеванцева «Многоуровневый статический анализ для поиска шаблонов ошибок и дефектов в исходном коде». Речь в докладе шла об одной изнаиболее действенных современных технологий поиска уязвимостей и ошибок – использовании систем автоматического поиска дефектов с помощью статического анализа исходного кода. Такие программы можно применять на самых ранних этапах разработки, что максимально упрощает и удешевляет исправление дефектов. Системы промышленного качества обрабатывают объемы информации в миллионы строк кода и анализируют все возможные варианты выполнения программы одновременно. Сегодня эта технология реализована в наборе инструментов статического анализа Svace, разработанном программистами ИСП РАН и внедренном в индустрии, который был представлен аудитории. Эта технология может применяться для работы с большими объемами кода и отличается приемлемым соотношением ложных и истинных срабатываний: от 50% до 80% найденных ошибок оказываются истинными.

Другой инструмент анализа кода продемонстрировал Андрей Сабельфельд, профессор факультета компьютерных наук и инженерии Технического университета Чалмерса и Гетеборгского университета, в докладе о новых методах отслеживания уязвимостей ПО. Он представил подход к поиску уязвимостей, который не требует отслеживания данных на протяжении всех вычислений, и инструмент DroidFace, представляющий альтернативу существующим сегодня статическим и динамическим инструментам поиска уязвимостей для систем на основе Android. Профессор Сабельфельд утверждает, что этот метод может быть использован для обнаружения атак без ложных срабатываний и пропуска ошибок. Впрочем, «сама природа вопросов безопасности не позволяет одним методам доминировать над другими, – уточняет он. – Как только какие-то методы становятся действенными для защиты некоторых уязвимостей, хакеры начинают искать другие уязвимости. Поэтому любая защита должна быть комплексной – от предотвращения до смягчения эффектов атак, мониторинга и аудита. А также многоуровневой – от уровня компьютерной архитектуры до уровня операционной системы, уровня приложений и сетевого уровня».

Также большое внимание на конференции уделили вопросам методологии и технологии программирования, высокопроизводительных вычислений, моделирования и анализа систем реального времени и гибридных систем, программирования в ограничениях, понимания и визуализации программ, онтологии в информационных системах и так далее. Вопросы прикладные тесно соседствовали с докладами из области фундаментальной науки и чистой математики. По словам Арутюна Аветисяна, в этом – одна из важнейших особенностей Ершовской конференции, призванной поддерживать баланс между теорией и практикой программирования, создавать площадку для продуктивного общения представителей разных областей сферы ИТ.

«В большинстве своем конференции по Computer Science становятся узкоспециализированными. Есть мероприятия, посвященные базам данных, инструментам программирования, информационному поиску, менеджменту, даже социальным вопросам. А конференций по программированию в целом практически единицы, один из таких примеров – как раз PSI-2017. Кроме того, это хорошая площадка для общения и создания мостов между представителями науки и индустрии», – отмечает Александр Петренко, сопредседатель программного комитета конференции.

Подготовила Анна Новомлинская

Комментарии могут оставлять только зарегистрированные пользователи