🅴🆁🆄🅰 🇷🇺Одна из наиболее годных публикаций о сертификации по ФСТЭКу — про оркестратор Nova Container Platform
Бездушная бюрократическая машина в лице госрегулятора вынудила людей пойти на такие вещи как:
Иначе говоря, внедрён ряд практик, которые оказались включены в процессы на постоянной основе, без пересмотра или отказа — закреплены как постоянная часть жизненного цикла создаваемого продукта:
Генерация SBOM, статический и динамический анализ, тестирование устойчивости, контроль целостности артефактов, подпись образов и детерминированные пайплайны сборки.
В данном случае, госрегулятор выполняет роль внешней силы, нормализирующей качество продукции, чтобы потребителей перестали почивать дерьмом через неявный картельный сговор производителей. В то время, как все остальные рыночные механизмы привели лишь к упадку в индустрии — катастрофическому снижению качества и надёжности эксплуатируемых систем.
Каких-то 15-20 лет назад этот весь набор требований казался более чем естественным, но пришли времена системного кризиса. Когда всё это отступило под давлением мифических «требований рынка» — банальной погоне за быстрыми прибылями и минимальной себестоимостью. Такой же выдуманной и мифической сущности, как печально известная «невидимая рука» Адама Смита.
Т.е. зумеры с миллениалами открыли для себя мир разработки софта в том виде, каким таковой должен быть, даже когда решение (продукт) собирается из сотни чужих (сторонних) open source компонентов. Когда огромная или подавляющая часть продукта слеплена из говна и палок (является непонятно кем написанным и неясно как развивающимся).
Да и к вопросу независимого развития open source, использование компонентов (библиотек) из distrolеss-образов крайне полезно для обеспечения жизнеспособности и разнообразия в GNU'шном мире из-за безумного фрагментирования #linux'ов.
#контейнеризация #b2g #ФСТЭК #software #softdev #software-development #фстэк #lang_ru @Russia @rur
Бездушная бюрократическая машина в лице госрегулятора вынудила людей пойти на такие вещи как:
- Воспроизводимость сборки. Каждый компонент продукта собирается в изолированной среде, а для каждого образа формируется SBOM, позволяющий проверить источники используемых зависимостей и состав.
- Контроль целостности. После сборки для каждого образа фиксировать хэш-сумму, с возможностью обнаружения любого изменения отдельных компонентов (артефактов).
- Формализовать требования по безопасности. Определив набор защитных механизмов, заложенных в продукт (какие угрозы должны покрываться самим продуктом).
- Не выдумывать модель угроз. Формировать полноценную модель угроз при аттестации информационной системы на стороне заказчика.
- Использовать статический анализ. Поддерживающий контекстно-чувствительный и межпроцедурный анализ и определить целевые участки кода, подлежащие проверке.
- Описать процесс разработки. Приводить сложившиеся практики к состоянию, когда возможно однозначно формализовать и обеспечить воспроизводимость (с подтверждением в рамках установленных требований).
Иначе говоря, внедрён ряд практик, которые оказались включены в процессы на постоянной основе, без пересмотра или отказа — закреплены как постоянная часть жизненного цикла создаваемого продукта:
Генерация SBOM, статический и динамический анализ, тестирование устойчивости, контроль целостности артефактов, подпись образов и детерминированные пайплайны сборки.
В данном случае, госрегулятор выполняет роль внешней силы, нормализирующей качество продукции, чтобы потребителей перестали почивать дерьмом через неявный картельный сговор производителей. В то время, как все остальные рыночные механизмы привели лишь к упадку в индустрии — катастрофическому снижению качества и надёжности эксплуатируемых систем.
Каких-то 15-20 лет назад этот весь набор требований казался более чем естественным, но пришли времена системного кризиса. Когда всё это отступило под давлением мифических «требований рынка» — банальной погоне за быстрыми прибылями и минимальной себестоимостью. Такой же выдуманной и мифической сущности, как печально известная «невидимая рука» Адама Смита.
Т.е. зумеры с миллениалами открыли для себя мир разработки софта в том виде, каким таковой должен быть, даже когда решение (продукт) собирается из сотни чужих (сторонних) open source компонентов. Когда огромная или подавляющая часть продукта слеплена из говна и палок (является непонятно кем написанным и неясно как развивающимся).
Да и к вопросу независимого развития open source, использование компонентов (библиотек) из distrolеss-образов крайне полезно для обеспечения жизнеспособности и разнообразия в GNU'шном мире из-за безумного фрагментирования #linux'ов.
#контейнеризация #b2g #ФСТЭК #software #softdev #software-development #фстэк #lang_ru @Russia @rur
Yonhap Infomax News
Matěj Cepl 🇪🇺 🇨🇿 🇺🇦
Farooq Karimi Zadeh
Ludovic :Firefox: :FreeBSD:
AlexCrimi
ralf tauscher 
Farooq Karimi Zadeh
EU zu Lëtzebuerg