В Минцифры обсуждают расширение перечня требований к программному обеспечению (ПО) на базе открытого исходного кода (open source), разработчики которого подали заявку на включение в реестр отечественного софта. Об этом сообщили «Ведомости» со ссылкой на источники в руководстве двух компаний-разработчиков софта.

В случае введения новых требований, которые, как утверждается, начали разрабатывать осенью прошлого года или даже раньше, от разработчика могут потребовать предоставить доказательства «наличия доработок, обеспечивающих существенные функциональные изменения в продукте по отношению к исходному свободному ПО». По мнению участников рынка, это позволит отличить «добросовестных разработчиков от мастеров по наклейке шильдиков на чужой продукт» и убрать из реестра ПО клоны, доля которых, по оценке, может составлять 20 %.

Источник изображения: Pixabay

Впрочем, пока неизвестно, как будет определяться вклад разработчика в новый продукт. Наличие программы в реестре российского ПО, предоставляет её разработчикам определённые преимущества, например, доступ к участию в госзакупках, возможность получать льготные кредиты и определённые налоговые льготы. Как отметили собеседники ресурса, в настоящее время требования к такому софту весьма формальны. Например, сопроводительная документация должна быть на русском языке.

Производитель программного обеспечения Red Hat, принадлежащий ныне IBM, объявил о планах по снижению выбросов парниковых газов до нулевого уровня к концу текущего десятилетия. Ожидается, что данная инициатива будет способствовать преодолению климатического кризиса. Red Hat заявляет, что проект соответствует научно обоснованной программе ограничения глобального потепления.

Проектом предусмотрено сокращение выбросов парниковых газов на 65 % к 2025 году по отношению к 2019-му. Для достижения этой цели планируется повышение энергетической эффективности и приобретение возобновляемой энергии, на которую, как предполагается, к середине десятилетия придётся 75 % потреблени. К 2030 году Red Hat намерена уже на 90 % обеспечить свои энергозатраты из возобновляемых источников. Нужно отметить, что такие же цели в рамках проекта по улучшению экологической обстановки ещё в 2021 году поставила корпорация IBM.

Источник изображения: Red Hat

Red Hat планирует привлекать к участию в проекте своих партнёров. Компания полагает, что продукты open source помогут заинтересованным сторонам в достижении их климатических целей и сокращении выбросов вредных газов в атмосферу. «Сформировав всеобъемлющую стратегию, основанную на нашей открытой модели гибридного облака и согласованную с общими целями IBM, мы уменьшим воздействие, оказываемое на окружающую среду, и сохраним планету для будущих поколений», — заявил президент и исполнительный директор Red Hat.

Компания «Базальт СПО» получила грантовую поддержку Фонда содействия инновациям на доработку открытой библиотеки libdomain, которая предназначена для создания и применения инструментов администрирования доменов с различной организацией: Samba, FreeIPA, Active Directory. Библиотека позволит обобщить (унифицировать) запросы к базам данных служб каталогов различных доменных инфраструктур.

С помощью libdomain можно создавать и применять единые групповые политики для корпоративной ИТ-инфраструктуры с российскими и зарубежными операционными системами. Библиотека будет включена репозиторий «Сизиф». Инфраструктура разработки находится на территории РФ, принадлежит и поддерживается компанией «Базальт СПО». Воспользоваться libdomain смогут разработчики всех стран, к примеру, для создания специализированных средств управления доменной инфраструктурой, приложений для миграции с Windows на российские ОС на ядре Linux, специализированных модулей для powershell.

Изображение: Базальт СПО

Фонд содействия инновациям начал выдавать гранты на разработку свободного программного обеспечения с 2022 года в рамках нацпроекта «Цифровая экономика». Грантовую поддержку от имени государства помимо ФСИ осуществляют еще два оператора: Российский фонд развития информационных технологий (РФРИТ) и Фонд «Сколково». Так, в 2022 году «Базальт СПО» уже завершила проект по созданию инструментов управления групповыми политиками, реализованный при грантовой поддержке РФРИТ.

Компания Positive Technologies сообщила о создании инструмента PT PyAnalysis для выявления подозрительных и вредоносных Python-пакетов в open source ПО. В настоящее время ведётся сбор заявок на ранний доступ к новой службе обеспечения информационной безопасности. Отмечается, что Python-пакеты используются большинством разработчиков в проектируемых продуктах. При этом такие модули могут содержать различные вредоносные элементы. Это позволяет злоумышленникам атаковать пользователей создаваемого ПО.

Эксперты Positive Technologies, в частности, обнаружили в репозитории PyPI около 175 пакетов, которые содержали разные типы или следы вредоносного ПО. Это стилеры для кражи паролей пользователей (63 %); бэкдоры для дистанционного управления устройством жертвы (20 %); программы-загрузчики (6 %); модули с нежелательной активностью, например, с назойливыми уведомлениями или с функцией удаления учётной записи Telegram (8 %); концептуальные (proof of concept) разработки без вредоносной активности (2 %); программы-вымогатели (1 %).

Источник изображения: Positive Technologies

Исследование, которое длилось восемь месяцев, также выявило, что средняя продолжительность жизни вредоносного пакета до его удаления составляет 13 дней. Это достаточный срок для заражения. Специалисты подчёркивают, что чаще всего пакеты маскируются под легитимные и используются для кражи данных.

«Сегодня создать репозиторий с незанятым именем на pypi.org для хранения Python-пакетов может любой желающий. У администраторов есть система Malware Checks, но её правила обнаружения лежат в исходном коде проекта, и обойти их достаточно просто. Сама система при этом не является блокирующей: сигналы приходят на почту администраторам, после чего происходит проверка кода пакета и принимается решение о блокировке», — говорится в сообщении.

Сервис PyAnalysis отличается максимальной автоматизацией. Через API пользователи могут отправить название Python-пакета на проверку и получить оценку его опасности. Оставить заявку на доступ к службе можно здесь.

Организация Linux Foundation, некоммерческий консорциум развития Linux, сообщила о том, что к проекту облачного гипервизора Cloud Hypervisor присоединилась компания Ampere, специализирующаяся на разработке серверных Arm-процессоров. Проект Cloud Hypervisor был запущен корпорацией Intel несколько лет назад. Это безопасный гипервизор, рассчитанный на облачные нагрузки и написанный на Rust. Инициативу уже поддерживают такие компании, как Alibaba, Arm, ByteDance, Microsoft и Tencent Cloud. В конце прошлого года проект перешёл под крыло Linux Foundation.

Изображение: The Linux Foundation

Ampere поможет в дальнейшем развитии облачного гипервизора. Проект ориентирован на поддержку современных рабочих нагрузок как в облаке, так и на периферии. Ampere присоединилась к группе Cloud Hypervisor в рамках своей программы по разработке решений с открытым исходным кодом. Нужно отметить, что в ноябре 2022 года в консультативный совет Cloud Hypervisor вошла и компания AMD. Говорится, что решение AMD отражает усилия сообщества по стандартизации одного из ключевых технологических компонентов современного стека виртуализации.

«Лаборатория Касперского» анонсировала сервис под названием Kaspersky Open Source Software Threats Data Feed: он предназначен для обнаружения закладок в сторонних компонентах и ПО с открытым исходным кодом. Решение поможет компаниям минимизировать риски использования продуктов open source.

На сегодняшний день новый сервис содержит информацию примерно о 3000 уязвимых и вредоносных пакетов, размещённых в популярных репозиториях. Причём в десятках таких компонентов найдены недекларированные возможности, в том числе связанные с отображением нежелательной информации политической направленности.

Источник изображения: pixabay.com

По оценкам «Лаборатории Касперского», около трети (35 %) уязвимостей, найденных в пакетах open source, имеют высокий уровень опасности, а примерно 10 % — критический. Некоторые из таких компонентов были загружены пользователями десятки тысяч раз.

«С потоком данных Kaspersky Open Source Software Threats Data Feed разработчики смогут избежать уязвимых и скомпрометированных пакетов. Это в том числе пакеты, которые содержат политические лозунги либо изменяют свою функциональность в определённых регионах (например, блокируют функциональность в РФ). Фид предоставляется в формате JSON», — отмечает «Лаборатория Касперского».

Сейчас доступны несколько крупных репозиториев, где разработчики могут найти подходящий под свой проект компонент. Это позволяет сосредоточить усилия на основной задаче, экономя время и ресурсы при внедрении стандартных функций. Однако в подобных пакетах могут содержаться случайные или намеренные уязвимости, а также вредоносный код. Новое решение как раз и ориентировано на снижение рисков при подключении таких компонентов с открытым кодом. 

Более 74 % компаний в России занимается автоматизацией бизнес-процессов и только у 5,2 % компаний таких проектов не планируются, говорится в отчете по скорости и эффективности цифровой трансформации, подготовленном компанией Comindware и российской Ассоциацией BPM-профессионалов.

Основным сдерживающим фактором цифровизации бизнеса в России компании называют отсутствие заложенных в бюджет заранее дополнительных инвестиций на покупку и обслуживание программных средств автоматизации. Об этом говорят 49,2 % опрошенных компаний. События последних двух лет привели к потери выручки в сумме от 5 до 10 % в 33,9 % компаниях. 47 % респондентов отметили сложность адаптации бизнес-процессов и 35 % — необходимость масштабной перестройки всей ИТ-архитектуры. Примечательно, что в 52,5 % случаях называлось отсутствие мотивации у сотрудников.

Источник: Comindware

На цифровые инструменты 14,5 % компаний готовы потратить до 10 % прибыли, 27,3 % респондентов могут выделить разработчикам ПО только 2 % от прибыли. Наиболее приоритетной областью внедрения программных решений является контроль и автоматизация логистических процессов (23 % ответов). Меньше всего, компании готовы вкладывать в цифровизацию рекрутинга (7 %).

Источник: Comindware

В 2022 года у российских компаний изменился взгляд на программные инструменты. Например, раньше менее 10 % доверяло решениям open source. Сейчас уровень доверия вырос более чем в два раза. Еще больше интереса проявляет бизнес к готовым программным инструментам российских вендоров, рост составил 290 % к уровню 2020 года.

В России состоялся запуск OpenScaler, сообщества разработчиков свободно распространяемой отечественной операционной системы с открытым исходным кодом, сообщила компания «Скала^р». Ключевым продуктом сообщества станет некоммерческий дистрибутив openScaler OS.

OpenScaler сформировано независимой командой разработчиков и экспертов в области ОС корпоративного класса, построенных на базе свободно распространяемого ПО. Участники сообщества намерены сотрудничать с отечественными производителями программного и аппаратного обеспечения, академическими, научными учреждениями и профессиональными сообществами.

Источник: Скала^р

openScaler OS — это доработанная версия китайского open source дистрибутива openEuler, управляемого некоммерческой организацией OpenAtom Foundation. openEuler, в свою очередь, основан на наработках коммерческого дистрибутива EulerOS, который изначально был построен на базе CentOS. На базе openEuler уже создано более 10 коммерческих дистрибутивов. openScaler OS также относится к наследникам семейства RHEL/CentOS.

Российская версия унаследовала от openEuler полную совместимость с западными корпоративными решениями и ряд инноваций: live-обновление ядра, инфраструктуру контейнеров iSulad, платформу виртуализации StratoVirt, инструменты безопасности secGear и secPaver, а также A-Tune для автоматического обновления конфигурации ОС в зависимости от профиля нагрузки. Обеспечивается поддержка аппаратных архитектур Arm, RISC-V, x86.

Компания «Веб-Сервер», которую учредили в России разработчики популярного веб-сервера nginx, анонсировала проект Angie. Речь идёт о создании альтернативы nginx, которая в перспективе может быть включена в реестр отечественного ПО.

Разработку nginx в 2002 году начал Игорь Сысоев, занимавший в то время должность системного администратора холдинга Rambler. В 2011 году для выпуска коммерческих решений была создана компания Nginx Inc., которую в 2019-м купила американская корпорация F5 Networks за $670 млн. В текущем году в связи со сложившейся геополитической обстановкой F5 Networks прекратила продажи продуктов в России и вывела хранение кода Nginx с территории страны. Согласно статистике Netcraft, в сентябре 2022 года nginx обслуживал 21,48 % самых нагруженных сайтов.

Источник изображения: pixabay.com

Как теперь сообщает газета «Коммерсантъ», часть разработчиков nginx вернулись в РФ для создания форка (самостоятельного ответвления) nginx. В число совладельцев «Веб-Сервера», в частности, входит бывший руководитель команды разработчиков nginx Валентин Бартенев. Другие учредители — Иван Полуянов, Олег Мамонтов и Руслан Ермилов.

Инвестиции в проект Angie на первом этапе составили около $1 млн. Создатели нового веб-сервера учли недостатки nginx. Как отмечает ComNews, Angie лучше справляется с задачами масштабирования и отказоустойчивости, что достигается за счёт динамического реконфигурирования. Сообщается, что владельцы крупных интернет-ресурсов смогут эффективнее управлять нагрузкой и запускать новые веб-сервисы без простоя. Другой особенностью решения являются расширенные возможности отслеживания метрик, что существенно упрощает интеграцию веб-сервера в общий мониторинг инфраструктуры компании.

Проект развивается исключительно в России, а готовый продукт будет иметь открытый исходный код. Ожидается, что Angie сможет забрать часть доли веб-сервера Nginx, который, по оценкам исследовательской фирмы W3Techs, в мае 2021 года обслуживал 33,8 % всех сайтов в мире.

«Angie даст возможность международному сообществу разработчиков и российским компаниям получить доступ к версии веб-сервера с расширенной относительно nginx функциональностью. nginx можно бесшовно заменить на Angie, поэтому такая миграция является очень экономичной и поможет оптимизировать существующие процессы. Поскольку nginx повсеместно используется в мировом интернете и уже давно нуждается в обновлённых функциях, то наша команда при разработке Angie учла необходимые потребности рынка», — сообщил Иван Полуянов.

Некоммерческая организация RISC-V International сообщила о том, что в репозиторий Android Open Source Project (AOSP) началось включение дополнений, обеспечивающих поддержку аппаратных решений с архитектурой RISC-V. Проект AOSP предоставляет информацию и исходный код, необходимые для создания пользовательских вариантов Android, а также адаптации устройств и аксессуаров к этой ОС. Кроме того, репозиторий помогает в решении вопросов совместимости.

В 2010 году специалисты лаборатории PLCT Китайской академии наук начали портировать Android 10 на архитектуру RISC-V. Большой вклад в эту работу вносит Alibaba Cloud: облачная платформа, в частности, поддерживает расширение основных функций Android на процессорах RISC-V. Кроме того, компания открыла наработки, касающиеся ядер XuanTie E902, E906, C906 и C910 с архитектурой RISC-V.

Источник изображения: RISC-V International

Как теперь стало известно, Alibaba Cloud подготовила набор из 76 патчей для обеспечения поддержки RISC-V на Android. Обновления затрагивают различные подсистемы, в том числе библиотеки, фреймворки, инструменты для разработчиков и всевозможные внешние модули. Примерно 30 из этих патчей уже внедрены в состав AOSP.

«Мы продолжим работать с сообществом Android в сферах мобильных гаджетов, ЦОД и других устройств. Потребность в различных архитектурах и гибкости дизайна стимулирует внедрение RISC-V. Об этом свидетельствует быстрый рост глобальной экосистемы программного обеспечения, перенесённого на RISC-V», — отмечает RISC-V International.