Минцифры планирует создать международное сообщество разработчиков Linux

Минцифры планирует создать международное сообщество разработчиков Linux

Минцифры планирует создать международное сообщество разработчиков Linux

Минцифры планирует создать Linux-сообщество, которое объединит разработчиков из стран, где готовы работать с российскими специалистами. Это заявление стало реакцией на отстранение 11 российских мейнтейнеров ядра Linux.

Российских разработчиков удалили из списка мейнтейнеров еще 18 октября, но стало известно об этом на неделю позже.

Линус Торвальдс связал данное отстранение с санкционной политикой США: все фигуранты списка работали на компании, которые оказались в стоп-листе американского Минфина.

При этом создатель Linux допустил, скажем так, резкие высказывания в отношении России, которые ведущий аналитик Mobile Research Group Эльдар Муртазин назвал «политической несуразицей».

Впрочем, это происходит не в первый раз. Линус Торвальдс несколько раз открыто нецензурно и оскорбительно отзывался о ряде компаний, включая Intel и Nvidia, а также о разработчиках ОС OpenBSD.

Реакция последовала практически сразу. Так, публицист Сергей Михеев призвал перейти от слов к делу и начать реальное импортозамещение, а не менять одного зарубежного поставщика на другого:

«Стратегической целью должна быть не смена одного иностранного партнера на другого, а развитие собственного производства. Пусть даже у кого-то скопировали, но главное, чтобы контроль над этим был у нас, ключи были у нас, а не у финна, который решил, что он «исторически обижен на Россию».

Российское Минцифры предложило свой ответ на решение возникшей проблемы.

«Увольнение российских сотрудников Linux можно расценить как очередной факт дискриминации. Ключевым направлением, на наш взгляд, на сегодняшний день является усиление кооперации и установление диалога с теми странами, которые готовы работать с нами, — сообщил представитель Минцифры РБК. — Необходимо договариваться с ними и строить свою альтернативную структуру».

Однако о том, обсуждалось ли это предложение с разработчиками из других стран, представитель профильного ведомства не сообщил.

Член правления АРПП «‎Отечественный софт», председатель совета директоров «Базальт СПО» Алексей Смирнов напомнил:

«В свое время Ричардом Столманом был запущен проект по созданию Unix-подобной ОС под свободной лицензией — GNU. В его рамках были написаны компиляторы, редакторы, системные библиотеки, то есть выполнена основная часть работ, оставалось написать ядро ОС. Для этого разрабатывалось ядро HURD, но быстрее вышло ядро Linux, написанное Линусом Торвальдсом. Есть и другие свободные ядра ОС. Поэтому современный дистрибутив правильно называть GNU/Linux, и Linux в нем — только один из компонентов. Введенные ограничения не имеют никакого отношения ни к системным библиотекам, ни к репозиторию ПО, ни тем более к магазинам приложений. Надо также понимать, что нет никаких ограничений на использование ядра Linux и на его модификацию — ограничения могут коснуться только возможности включить свои доработки в международный проект».

По мнению руководителя управления разработки СКБ Контур Алексея Кирпичникова, идея создания альтернативной структуры по разработке ядра Linux, свободной от любых ограничений, является утопической:

«Для защиты интеллектуальной собственности крупному проекту требуется как минимум организация, аналогичная Linux Foundation, которая будет способна представлять его интересы. Такая организация вряд ли может быть свободна от юридических и финансовых ограничений. Кроме того, у крупного проекта обязательно появляется сообщество, у которого тоже могут быть свои интересы, преобладающие политические и социальные взгляды. Если создать крупное сообщество умных и действительно независимых людей — вряд ли получится запретить этому сообществу изгнать из своих рядов тех, кто в нормы этого сообщества не вписывается».

«Мне представляется правильным делать некие так называемые форки — собственные ветки разработки, которые будут поддерживаться уже внутри страны, и делать единый депозитарий. Об этом шла речь. Минцифры говорило, что они будут делать депозитарий для open source разработок, но почему-то так и не сделало это», — такой выход предложила президент ГК InfoWatch, председатель правления АРПП «Отечественный софт» Наталья Касперская в беседе с онлайн-изданием «Ридус».

По мнению Эльдара Муртазина, раскол среди разработчиков не только ядра Linux, но и свободного ПО в целом не просто назрел, но будет все больше нарастать. Это не приведет к непоправимым последствиям, но привлекать людей станет все сложнее и сложнее, а форки будут развиваться быстрее.

С поддержкой ядра Linux в актуальном состоянии, подтягивая обновления из основного ядра и добавляя к ним патчи для поддержки отечественного железа, российские разработчики, по мнению Алексея Кирпичникова, все же успешно справляются, но создание сильно отличающегося от основной ветки ядра Linux форка будет невыполнимой задачей.

Создатель и генеральный директор группы компаний DZ Systems Дмитрий Завалишин в колонке для D-Russia охарактеризовал открытый код как крайне низкокачественный, который необходимо тщательно дорабатывать:

«Превратить его в продукт — масштабная работа. Она включает в себя тестирование и стабилизацию самого опенсорсного кода, разработку административных и пользовательских интерфейсов для него, проработку сценариев разворачивания и использования, обучение, интеграцию — то есть тщетно надеяться, что можно просто взять и использовать опенсорс, что называется, “с полки“».

Помимо этого, разработка полноценной рабочей среды требует работу над другими компонентами: от драйверов и системных библиотек до базового ПО и системы дистрибуции приложений.

«Как и в случае с ядром, создать собственный репозиторий пакетов для любой версии ОС Linux — простая техническая задача. Вопрос в том, что будет происходить с этим репозиторием. Это будет просто зеркало существующих глобальных репозиториев? Такие зеркала существуют и используются давно, в том числе они есть в любой крупной ИT-компании. Или же мы будем пытаться переписать весь софт в этих репозиториях самостоятельно, с нуля? Такая попытка скорее всего будет безуспешной», — уверен Алексей Кирпичников.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Т-Технологии тестирует формат bug bounty с упором на недопустимые события

Компания Т-Технологии (входит в экосистему Т-Банка) представила новую исследовательскую программу, которая выходит за рамки классического поиска уязвимостей. Теперь, помимо поиска технических багов, участникам предлагают тестировать так называемые «недопустимые события» — сценарии, проверяющие, насколько инфраструктура компании устойчива к критическим воздействиям.

Главная особенность программы в том, что она построена по принципу pay-for-impact: вознаграждение начисляется не просто за найденную уязвимость, а за демонстрацию сценария, который реально проверяет устойчивость ключевых систем.

Исследователям не ограничивают направления работы — они могут анализировать мобильные приложения, API, бизнес-логику, интеграции с партнёрами и другие части цифровой инфраструктуры.

Руководитель департамента информационной безопасности Т-Банка Дмитрий Гадарь объяснил идею так:

«Наша цель — не заменить классический баг-баунти, а дополнить его новым направлением. Мы хотим, чтобы исследователи искали комплексные сценарии, способные подтвердить защищённость систем на практике. Это делает безопасность более прозрачной и технологичной».

Пока программа работает в приватном режиме — принять участие в ней могут только приглашённые специалисты.

Ключевые параметры программы:

  • Платформа: Standoff Bug Bounty
  • Модель выплат: pay-for-impact — вознаграждение за воспроизведение PoC, приводящего к подтверждённому «недопустимому событию».
  • Размер выплат: до 3 млн рублей за выявление критического сценария, от 100 тыс. до 1,5 млн рублей — за промежуточные этапы в зависимости от сложности и влияния.
  • Промежуточные итоги: запланированы на 1 апреля 2026 года.

Что такое «недопустимые события»

Под ними понимаются сценарии, которые позволяют проверить, насколько критические компоненты инфраструктуры готовы к серьёзным инцидентам. Среди примеров:

  • попытки несанкционированного доступа к внутренним сервисам;
  • закрепление в базе данных с правами администратора;
  • внедрение кода в цепочку релизов продуктов;
  • обход систем защиты и мониторинга.

В чём новизна подхода

Новая программа делает акцент не на количестве уязвимостей, а на практической устойчивости инфраструктуры. Исследователи могут комбинировать разные векторы атак — от фронтенда до интеграций, — чтобы находить сложные цепочки. Все подтверждённые сценарии автоматически передаются в SOC и другие подразделения для проверки и усиления защиты.

«Для банков особенно важно не только находить уязвимости, но и подтверждать реальную защищённость систем. Мы надеемся, что такой подход станет стандартом для отрасли», — добавил Дмитрий Гадарь.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru