В завершение цикла статей о выборе сертифицированной операционной системы (Часть 1 и Часть 2) я подготовил для вас короткий чек-лист, который позволит любому желающему подобрать для себя качественную и безопасную ОС, для того, чтобы пройти этот нелегкий путь импортозамещения и обеспечить полноценную работу в ней на долгие годы вперед.

Правила работы с чек-листом очень просты - чем больше положительных ответов, тем более предпочтительной будет для вас операционная система.

Вопрос

Ответ

Комментарий

1.  

ОС имеет сертификат соответствия требованиям безопасности?

 

Если ответ «Нет», то прочитать статью «Безопасность корпоративных операционных систем: на что обращать внимание при выборе несертифицированной ОС на российском рынке» (выйдет чуть позже, на месте этого текста появится ссылка) и использовать чек-лист для выбора несертифицированных ОС

2.  

Есть ли уникальные функциональные возможности (по сравнению с конкурентами), способствующие более защищенной работе в системе и (или) способствующие повышенному комфорту при использовании системы?

3.  

Минорные обновления ОС выходят не реже одного раза в 6 месяцев?

4.  

Минорные обновления ОС содержат информацию об устранении только новых уязвимостей (уязвимость, опубликованная в открытых источниках менее одного года назад)?

4.1.  

Старых уязвимостей менее 5% от числа устраненных в минорном обновлении?

 

Рассматривается, если ответ на вопрос № 4 отрицательный

5.  

Критичность устраняемых в минорном обновлении ОС уязвимостей соответствует следующему распределению: 25% критических уязвимостей (CVSS > 7.0) на 75% некритических уязвимостей (CVSS < 7.0) ± 10%?

6. 

Вендор публикует в открытых источниках информацию об устраненных уязвимостях в ОС пакетом минорных или мажорных обновлений?

7.  

Есть ли в открытых источниках информация о проводимых исследованиях безопасности ОС и их результатах (обнаружение ZeroDay-уязвимостей, ошибок функционирвоания)?

7.1.  

Есть ли у вендора сотрудники, исследующие безопасность ОС (AppSec)?

 

Рассматривается, если ответ на вопрос № 7 отрицательный

7.2.  

Штат исследователей (AppSec) больше 10 человек?

 

Рассматривается, если ответ на вопрос № 7 отрицательный

7.3.  

Какое количество ZeroDay-уязвимостей и ошибок функционирования было найдено за предыдущий год?

 

Рассматривается, если ответ на вопрос № 7 отрицательный. Правильного ответа на этот вопрос нет. Чем больше будет число, тем лучше

8.  

У вендора есть квалифицированная техническая поддержка, "реально" работающая 24/7/365?

9.  

Какой срок поддержки мажорной версии ОС (срок программных обновлений безопасности мажорной версии)?

 

Правильного ответа на этот вопрос нет. Чем больше будет число, тем лучше

10.  

Есть ли возможность бесшовной миграции с предыдущей мажорной версии ОС на следующую без потери пользовательских данных и функциональности программ?

Всем большое спасибо за то, что дочитали до конца данную трилогию. Надеюсь, что информация приведенная в данных статьях поможет сотрудникам, выполняющим задачу по импортозамещению, подобрать для своей компании надежную, качественную и безопасную ОС!

Комментарии (14)


  1. beduin01
    26.06.2024 11:23

    Расскажите каким макаром вы дистрибутивы линукс записали из дистрибутивов в операционные системы?


    1. Maksim_Fokin Автор
      26.06.2024 11:23
      +2

      Прошу прощения, не очень понял суть вопроса. Можете расписать более подробно проблему, которая Вас интересует?


      1. beduin01
        26.06.2024 11:23

        Нет никаких отечественных операционных систем. Не вводите людей в заблуждение.


        1. Maksim_Fokin Автор
          26.06.2024 11:23
          +1

          Не согласен с Вашим мнением. GNU/Linux - это открытый проект, принадлежащий не конкретной стране, а мировому сообществу. Если участники (из России) этого сообщества берут компоненты из него и на их основе формируют свою ОС, то почему ее нельзя назвать отечественной? Это тоже самое, что вы возьмете дерево, доставленное из Европы, и сделаете из него стул своими руками. Неужели стул не будет считаться отечественным? Тогда каким? Европейским?

          В общем спорить по этому поводу не вижу смысла. У вас свое субъективное мнение, у меня свое. Вы можете быть не согласны с моим мнением и имеете на это полное право, я же не заявляю, что мое мнение - это истина в последней инстанции.


          1. beduin01
            26.06.2024 11:23

            берут компоненты из него и на их основе формируют свою ОС


            Потому что это дистрибутив не является операционной системой.


            1. Maksim_Fokin Автор
              26.06.2024 11:23
              +2

              Я так понимаю, что по вашему мнению Red Hat, Fedora и иже с ними - не являются самостоятельными разработчиками операционных систем и нельзя сказать, что это чисто американская ОС, только потому что они использовали компоненты проекта GNU/Linux при их создании. Я правильно понимаю Ваш посыл?


              1. beduin01
                26.06.2024 11:23

                У вас на скриншоте выделено слово *Дистрибутив*. В тексте чтобы ввести в заблуждение читателя появляется слово ОС.

                Давайте я ваше поделие возьму, обои поменяю и назову это операционной системой. Логику улавливаете?

                Ах да, до кучи количество патчей отечественных в процентном отношении от всех остальных укажите. А то сами в примере про дерево пишете из которого столы сделали, а потом окажется что из отечественного только шильдик.


                1. Maksim_Fokin Автор
                  26.06.2024 11:23
                  +2

                  С данным утверждением отчасти согласен. Количество доработок зависит от конкретного вендора: есть вендоры, которые вносят серьезные доработки, есть вендоры, которые берут готовый дистрибутив и как Вы написали "меняет обои", выдавая его за свою "отечественную" ОС. Всех под одну гребенку я бы не стал ровнять, но смысл, который Вы пытались донести я понял. Формально, даже когда меняется только шильдик, считается, что итоговый продукт уже отечественный. Возьмем два примера - Москвич и Лада. И то и то считается отечественным автомобилем. И то и то собирается (ну или до недавнего времени (про Ладу) собиралось) из импортных запчастей. Да, локализация своего РИД (результат интеллектуальной деятельности) в этих изделиях отличается - в Ладе больше, в Москвиче практически отсутствует. Но в любом случае и то и то является формально отечественным автомобилем, просто Лада уже давно на рынке и может себе позволить свои разработки каких-то элементов и замены ими импортных, а Москвич только в начале пути и у него нет специалистов это сделать. С ОС на российском рынке примерно та же история. Есть вендоры покрупнее, они по сути уже имеют большой штат и могут в дистрибутивы вносить существенные изменения. Есть вендоры поменьше, у них пока нет штата, поэтому ждать от них того, чтобы они в моменте переписали код ОС и сделали новый Майкрософт в России - не стоит. Но опять же повторюсь, и те и те формально будут отечественными и тут с точки зрения закона не подкопаться.


                1. Shaman_RSHU
                  26.06.2024 11:23

                  Но всё больше и больше компаний заставляют этот шильдик использовать, не оставляя выбора


                  1. Maksim_Fokin Автор
                    26.06.2024 11:23
                    +1

                    К сожалению или к счастью - да. Это вызвано нашей внешней политикой. На российском рынке не осталось импортных ОС, поэтому приходится выбирать из того, что есть. С одной стороны - это плохо. Но попробуйте посмотреть с другой стороны: деньги российских компаний наконец-то начали оставаться в РФ. На эти деньги вендоры ОС могут нанимать сотрудников, которые в свою очередь могут делать лучше свою ОС. Это даёт нам возможность реально сделать что-то свое, чтобы потом не стыдно было говорить "отечественная ОС". В первое время придётся потерпеть, да, но через некотрое время (лет 5) вы сможете увидеть как приобразятся наши внутренние продукты и процессы по их разработке. Москва не сразу строилась.


                    1. Shaman_RSHU
                      26.06.2024 11:23
                      +2

                      Давайте порассуждаем на основе самого распространенного отечетсвенного AstraLinux.

                      Как известно, у них недавно было два напрваления ALSE и ALCE. Но после Astra Linux Common Edition версии 2.12.46 выпущенной 17 апреля 2023 они вдруг резко сменили направление и готовят в третьем квартале Astra Linux Common Edition (на базе SE 1.8.1).

                      ALCE можно было использовать в личных целях. Это давало возможность хоть как-то познакомиться с особенностями отечественной разработки.

                      Но теперь получается, что чтобы её попробовать и может быть начать использовать нужно сначало купить ALSE, т.к. просто так скачать её нельзя и в открытом доступе подробной информации нет (а техподдержка посылает без покупки). Таким образом популяризации 0%, а навязывание Регуляторами 100%.

                      А давайте теперь представим, что Debian вдруг также резко поменяет направление (* конечно нет) и что тогда будут делать эти нанятые квалифицированные сотрудники? Новую версию уже не сделать (переделать), т.к. всё их "что-то своё" просто не заработает.

                      И что же останется делать нам, кого уже "пересодили" на AstraLinux, переписал под нее свой софт (не стоит забывать, что разработчики софта, которые не подвержены требования Регуляторов всё равно переделывают софт, т.к. заказчики требуют)? Понятно, что это всё будут издержки этих производителей софта и не проблемы Регулятора.

                      Но тогда не надо под отечественной ОС/дистрибутивом выставлять переделку из другой свободно распространяемой (*не совсем) ОС/дистирибутива, который намного дольше развивался, намного большим комьюнити. Может быть действительно сделать что-то своё, а не только на бумаге?


                      1. Maksim_Fokin Автор
                        26.06.2024 11:23
                        +1

                        Спасибо за такой хороший комментарий! В нем Вы задели много важных проблем.

                        Рискну прокомментировать:

                        Но теперь получается, что чтобы её попробовать и может быть начать использовать нужно сначало купить ALSE

                        Слышал я как-то давно, около года назад, что на верхнем уровне этой компании обсуждали возможность передавать физ. лицам образ Орла (ALCE) безвозмездно. Не знаю чем завершилась эта мысль, но буду надеяться, что они примут это решение и описанная проблема будет устранена.

                        А давайте теперь представим, что Debian вдруг также резко поменяет направление (* конечно нет) и что тогда будут делать эти нанятые квалифицированные сотрудники?

                        Если Дебиан резко меняет направление, то у Астры все равно остаются все исходники, на которых их актуальные версии работают. Значит будут вкладывать бюджет непосредственно в доработку имеющегося функционала своими силами. Да, их доработки будут слабее, чем у официального Дебиана, может быть и обновления безопасности будут не так быстро появляться, но думаю, что в такой маловероятной ситуации - это все равно будет лучше, чем вообще ничего.

                        И что же останется делать нам, кого уже "пересодили" на AstraLinux, переписал под нее свой софт (не стоит забывать, что разработчики софта, которые не подвержены требования Регуляторов всё равно переделывают софт, т.к. заказчики требуют)?

                        Если с Дебианом произойдет "беда" и Астра пойдет по пути, который я описал пунктом выше, то разработчикам вообще ничего не придётся делать. Работайте спокойно, ведь меньше обновлений ОС - меньше перепиливания написанного под эту ОС софта, верно ведь? Я бы сказал, что разработчикам софта такой вариант даже на руку будет :D Единственный минус для разработчиков тут - это устаревание функционала ОС со временем и задержки с обновлениями безопасности.

                        Может быть действительно сделать что-то своё, а не только на бумаге

                        Есть у нас в стране один ведор, который в настоящее время "с нуля" делает (именно делает, т.е. пишет свое ядро и т.п.) свою ОС. И со временем он будет сродни Microsoft в России, а остальные вендоры будут примерно как Red Hat (т.е. юзать GNU/Linux, дорабатывая определенный функционал). Почему нет? Такой вариант вполне себе жизнеспособный, как показывает практика западных коллег.