 |
|
|
|
Арутюн Аветисян: «Мы должны создать стопроцентную технологическую независимость страны. Чтобы этого достичь, нам потребуется 5–7 лет»
Арутюн Аветисян:
|
– Ровно год тому назад в рамках нацпрограммы «Цифровая экономика» заговорили о необходимости создания Технологического центра исследования безопасности ядра Linux. И вот он появился. Что главное для него сейчас на первом этапе?
СправкаТехнологический центр исследования безопасности ядра Linux
|
– Существуют ли подобные центры в других странах?
– Есть очень близкий проект Linux Foundation в США, который, как пишут о нем, «продвигает, защищает и стандартизует Linux, предоставляет ресурсы и сервисы сообществу открытого ПО». Он поддерживает три версии ядра. Работа Linux Foundation финансируется за счет пожертвований. Но, наверное, для нас это был бы не самый разумный подход. Для нас более правильная модель, мне кажется, это, с одной стороны, быть абсолютно независимыми, а, с другой стороны, быть открытыми миру, общаться с мировым сообществом и передавать ему свои наработки.
– Как вы собираетесь объединить вокруг Технологического центра специалистов? Каков должен быть их уровень?
– Я надеюсь, что во всех наших компаниях найдутся специалисты, которые будут вовлечены в работу Центра. Многие из них уже участвуют в наших проектах. Кроме того, будем привлекать новых людей к работе Центра.
Ядро Linux – это более 22 миллионов строк кода, в них очень долго нужно разбираться, исследовать. Участвуя в этой работе в Технологическом центре, компании получат гарантированно надёжную систему, которая фактически с нулевыми проблемами проходит сертификацию. Вот почему им это может быть интересно.
Кроме того, компаниям наверняка полезно при подготовке кадров взаимодействовать с вузами, однако сегодня им очень сложно выстраивать взаимоотношения с университетами. Поэтому они пытаются хантить специалистов друг у друга. Работая в Технологическом центре, мы вместе сможем создать экосистему, в которой студенты из разных вузов получат доступ к ресурсам центра, где будут также и образовательные курсы. Участвуя наряду с компаниями в проектах, они смогут приобрести необходимые компетенции, и тогда взаимодействовать институтам и компаниям станет гораздо легче, вузам проще будет учить студентов, а компаниям – находить необходимые кадры.
Я думаю, что использование результатов исследований безопасности Linux при сертификации различных дистрибутивов ОС и обеспечение безопасной разработки ядра Linux внутри страны могут быть полезны для всех наших компаний.
Очевидно, что проблема безопасности существует. Об этом говорят все разработчики, и в решение этой проблемы нужно инвестировать. Мы не знаем, сколько инвестируют в разработку безопасного ПО в других странах. Но мы понимаем, что должны делать то же самое.
Надо считать, что у нас есть версия ядра, которая промышленно работает функционально, всё, давайте смотреть, как туда добавлять безопасность, улучшать ее. Главное, делать это на мировом уровне. При этом всегда знать, что даже когда ты будешь на самом переднем уровне, это не значит, что у тебя нет ошибок, и тебя никогда не взломают. Нет, это не так. Ошибки будут, но можно обеспечить высокий уровень доверия. Что для этого необходимо сделать? Объединить усилия, опираясь на передовую науку. Других вариантов нет. Сил только самих компаний не хватает для решения этой проблемы, без науки их усилия бессмысленны, потому что все быстро устаревает.
– Какие компании могут стать членами сообщества, участвовать в работе центра?
– Все компании, которые использует ядро в своих разработках, могут стать членами экосистемы.
Участвовать в работе центра также могут практически все, даже если они не являются специалистами по ядру Linux. Например, если компания, для своих специфичных задач станет выявлять новые ошибки, она уже этим будет помогать в соответствии с нашими методиками. Ведь не только нужно ликвидировать проблему, ее прежде необходимо выявить.
Выявление проблемы – это множество инструментов: статика, динамика, будут обнаруживаться сотни тысяч ошибок. Эти ошибки необходимо посмотреть, разметить, которые более критичны, которые менее критичны, на что нужно сразу обратить внимание. На этом этапе многие компании могли бы участвовать. И в этом смысле объединение профессионального сообщества очень хорошо. Любая ошибка, ее же кто-то обнаружил. Посмотрели миллионы глаз, а обнаружил кто-то один.
– Как будет определяться уровень проблемы безопасности, которую нужно вместе обсуждать?
– Это экспертно. Поэтому, я говорю, нужен Технический Комитет. Он должен опираться на лучших своих экспертов, иначе бессмысленно. Когда мы что-то обнаружили – будет регламент, как мы отфильтровываем, потом экспертно оцениваем. После этого принимается решение, что делать. Максимально быстро оповещать всех, писать быстро патч. Если эксперт определил, что это супер-проблема, но нет вообще никаких ресурсов и по регламенту ничего нельзя сделать, тогда срочно собирается Технический комитет и решает, что делать.
Сообщество просто необходимо. Когда есть сообщество, мы с разных точек зрения вопрос обсудили – плюс экспертное мнение, плюс грамотный Технический комитет, состоящий из представителей индустрии, – и нашли решение проблемы. Здесь самое главное – Технический комитет не просто формально инициировать, а накачивать его знаниями, создать работающий механизм. Одна из главных функций и задач нашего института – создать это сообщество. Это как ядерная реакция, если она запустится, дальше ее поддерживать легче.
– Технологический центр, по сути, становится идеологическим центром, вокруг которого собираются разработчики продуктов на базе Linux?
– По сути, да. Экспертным, технологическим, идеологическим центром, совместно, конечно, с нашими госорганами и сообществом. Проблема одна у всех, на самом деле. Просто на нее кто-то смотрит с точки зрения денег и бизнеса, кто-то – с точки зрения науки. Решение этой проблемы помогает справиться с задачами и бизнеса, и науки.
– Есть ли в России в институтах и университетах учебный курс по операционным системам?
– У нас есть достаточное количество вузов, где ещё преподают курс по операционным системам. Не важно, на базе Линукса это проходит или нет. Студентам нужно дать возможность получить знания на специализированных курсах, которые у нас в стране читаются в МГУ им. М.В. Ломоносова, МФТИ, в Высшей школе экономики, они у нас есть. Мы можем дать этот материал для региональных вузов, чтобы они там его могли читать.
Заинтересованный преподаватель способен создать научную группу и развивать это направление. Таким образом мы сможем получать в нашу экосистему новых людей.
Мы создадим финансовые условия этим ребятам, чтобы они получали стипендии. У нашего института такой опыт есть. Мы достаточно много стипендий даем студентам в Орле, в Великом Новгороде. Даже в Армении есть ребята, которые получают нашу стипендию.
Почему бы в рамках этого проекта не привлекать к работе способных студентов из стран СНГ? Это же открытый проект. Де-факто мы являемся центром компетенций внутри бывшего Союза. Почему бы не стать им и де-юре? Нам нужны люди, а не деньги. Представляете, если каждый регион даст в нашу экосистему двух-трёх человек? Это уже сотни людей. С учетом того, что ядро Linux – это операционная система, связанная и с облачными технологиями, и с технологиями виртуализации, она очень привлекательна для профессиональных ребят, которые хотят заниматься системным программированием.
На самом деле речь идет о создании отрасли в части системного программирования, которой пока как таковой в стране нет. Она необходима для того, чтобы мы могли долгосрочно развиваться. Чтобы это развитие зависело не от компаний X, Y, а от страны и общества.
Мы должны создать стопроцентную технологическую независимость страны. Чтобы этого достичь, нам потребуется 5-7 лет. Нужно принимать правильные решения – если сейчас запустимся, то к 2030 году будем более-менее в конкурентоспособном положении. Да, сейчас мы уже являемся конкурентоспособными, но можем отстать. Если вдруг что-то произойдёт, как говорят, вообще интернет переключат, то все коды у нас будут. Что нам мешает дальше развиваться самим? Ничего не мешает, хотя мы открыты к взаимодействию со всеми.
Ещё по теме
Как привлекать и обучать молодых специалистов работе над ядром?
В настоящее время подавляющее число технических вузов выпускает молодых специалистов со знаниями и базовыми навыками программирования, причем зачастую на нескольких языках. Вместе с тем большинство нынешних выпускников не имеет представления о принципах и подходах безопасного программирования. Хотя уже довольно давно такие знания являются одним из важнейших требований к практическим навыкам современного программиста. Особенно высоко эти компетенции ценятся среди специалистов, разрабатывающих средства защиты информации, где ошибки программирования могут привести к раскрытию конфиденциальных данных, потере репутации как пользователя, так и самого разработчика, а также к огромным финансовым убыткам. Поэтому приходится переучивать выпускников на практике, «ломать» привычные им навыки и в программировании, и в управлении продуктом. Ведь проверка кода на уязвимости – это непрерывный, цикличный процесс, охватывающий не только этап написания продукта, но и период его поддержки. Открытие на базе ИСП РАН им. В.П. Иванникова, при поддержке ФСТЭК России, Технологического центра исследования безопасности ядра Linux позволит, помимо решения его основных технических задач, сформировать базу знаний о принципах безопасной разработки и методах тестирования программного обеспечения, и на этой основе внедрить в учебные программы новые дисциплины, позволяющие студентам еще в вузе получить требуемые знания. Насколько мне известно, ИСП РАН уже разработал несколько новых специальностей для вузов по данному направлению. Сотрудники ИСП РАН делятся накопленными знаниями по безопасной разработке с инициативными представителями ИТ-отрасли, которые, в свою очередь, стараются донести их до студентов в рамках дополнительных дисциплин в некоторых учебных заведениях страны. На занятиях отечественные разработчики стараются заинтересовать молодых специалистов темой безопасной разработки программного обеспечения, а также привлечь их к работе Технологического центра. К сожалению, по моей оценке, сейчас не более 5% высших учебных заведений ввели в свой план такие специальности или проводят подобные дополнительные занятия – в основном, это ведущие вузы страны. Поэтому очень важно не ограничиваться вузами Москвы и Санкт-Петербурга. Необходимо нести эти знания в регионы, где много толковых выпускников университетов и технических вузов с большим потенциалом в ИТ-сфере. Для работы с молодыми специалистами в Технологическом центре необходимо создать точки входа, назначить им кураторов. Такими точками входа могут стать специализированный сайт и группы в социальных сетях, объединяющие в сообщество желающих участвовать в работе Технологического центра. |
Ключевые слова: технологический центр, образование, ядро Linux, технологическая независимость, безопасность, Open Source.
Подпишитесь на журнал
Купите в Интернет-магазине
Комментарии отсутствуют
| Добавить комментарий |
|
Комментарии могут оставлять только зарегистрированные пользователи |
|
