Специалисты «Базис», компании-лидера российского рынка средств виртуализации, вместе с сотрудниками ИСП РАН и испытательной лаборатории «Фобос-НТ» провели очередной этап тестирования компонентов с открытым исходным кодом, которые используются в инструментах виртуализации по всему миру, в том числе в продуктах компании. Результатом совместной работы стало обнаружение и последующее устранение 191 дефекта в коде, некоторые из которых были расценены как уязвимости.

В рамках нового этапа испытаний тестировались следующие компоненты с открытым исходным кодом: nginx, ActiveMQ Artemis, Apache Directory, libvirt-exporter, QEMU. Особое внимание было уделено libvirt — сбой в работе этой библиотеки может нанести ущерб инфраструктуре и привести к утечке конфиденциальной информации, поэтому она была подвергнута комплексному исследованию. Перечисленные компоненты используются вендорами по всему миру — libvirt предоставляет API для управления виртуальными машинами, nginx помогает балансировать нагрузку и т.д. — и от качества их работы зависит множество российских и иностранных решений для работы с виртуальными средами.

При разработке и тестировании продуктов «Базис» применяются различные виды анализа, такие как фаззинг, статический анализ, композиционный анализ, модульное и функциональное тестирование. На прошедшем этапе испытаний основной упор исследователи сделали на разметке срабатываний статического анализатора Svace (разработан в ИСП РАН) и создании фаззинг-целей.

Статический анализ выявил 178 дефектов в коде тестируемых компонентов. Изучив их, специалисты ИСП РАН и «Базис» разработали 86 исправлений, которые были приняты в основные ветки разработки соответствующих проектов. Большая часть срабатываний относилась к популярному брокеру сообщений ActiveMQ Artemis и серверу каталогов Apache Directory.

Фаззинг-тестирование выявило еще 13 дефектов в коде — 5 в Apache Directory LDAP API и 8 в библиотеке libvirt. Последние были найдены в ходе проверки функций обработки инструкций, которые потенциально могут быть получены из конфигурационных файлов при создании виртуальной машины. В частности, были найдены ошибки, связанные с переполнением буфера, а также несколько проблем, связанных с неоптимальной работой функций в отношении некоторых контроллеров. Все поданные исправления были оперативно приняты в основные ветки разработки libvirt и Apache Directory.

Источник изображения: Markus Spiske / Unsplash

В рамках подготовки к тестированию для наиболее критичных компонентов открытого ПО, лежащих на поверхности атаки, были разработаны фаззинг-тесты. Их можно найти в соответствующих проектах на GitLab-портале Центра исследований безопасности системного ПО. В дальнейшем созданные сотрудниками ИСП РАН и «Базис» цели послужили исследованиям, которые специалисты «Фобос-НТ» выполняли на своих мощностях. Найденные коллегами дефекты также были учтены при обновлении компонентов с открытым исходным кодом в продуктах «Базис».

«Мы очень серьезно относимся к качеству кода экосистемы «Базис», поэтому тестируем на ошибки и уязвимости не только собственный код, но даже компоненты с открытым исходным кодом, которые используем. Более того, без такого тестирования невозможны современная безопасная разработка и сертификация. Такой подход делает наши решения более качественными и защищенными, а также вносит вклад в развитие открытых инструментов виртуализации, которые используются различными вендорами по всему миру. Реализовать его было бы сложно без партнеров, сотрудничество с ИСП РАН и НТЦ «Фобос-НТ» позволяет «Базису» выстраивать качественные процессы безопасной разработки и тестирования инструментов виртуализации, повысить уровень зрелости экосистемы. В результате наши продукты не только сертифицированы ФСТЭК России, но и в максимально короткие сроки проходят инспекционный контроль. В итоге наши заказчики могут быть уверены, что решения «Базиса» проверены, а созданная на их основе инфраструктура компании безопасна», — отметил Дмитрий Сорокин, технический директор компании «Базис».

Очередной этап тестирования и исследования кода проходил на инфраструктуре Центра исследований безопасности системного ПО, созданного ФСТЭК России на базе ИСП РАН. Компания «Базис» принимает непосредственное участие в деятельности Центра и является активным участником РБПО-процессов, инициируемых и развиваемых ФСТЭК России. Работы по разметке и созданию целей для фаззинга выполнялись совместно с ИСП РАН, к решению этой задачи были привлечены студенты профильных специальностей МГТУ им. Н.Э. Баумана и Чувашского государственного университета. Сотрудники испытательной лаборатории НТЦ «Фобос-НТ» проводят сертификационные испытания продуктов «Базис» и занимаются улучшением фаззинг-тестов, в том числе разработанных компанией.

Облачный провайдер DigitalOcean представил платформу GenAI, которая позволяет использовать базовые модели от сторонних поставщиков для создания и развёртывания агентов ИИ за считанные минуты без необходимости глубоких знаний в области ИИ или машинного обучения. Как сообщает DigitalOcean, интуитивно понятная работа в GenAI позволяет клиентам вне зависимости от уровня подготовки настраивать агентов с доступом к надёжным конвейерам данных и многоагентным командам.

DigitalOcean GenAI позволяет компаниям создавать чат-боты на основе базовых моделей сторонних поставщиков (Anthropic, Meta✴, Mistral и др.) для анализа документов, семантического поиска, создания изображений и т.д. Платформа создана так, чтобы быть независимой от фреймворков. Платформа упрощает и создание агентов, специфичных для конкретных вариантов использования, привнося контекстные данные в базовые LLM.

Клиенты смогут не только извлекать неструктурированные данные из файлов, но и структурированные данные из баз данных или обращаясь к API, чтобы дополнять подсказки и задействовать Retrieval Augmented Generation (RAG), обеспечивая агентам доступ к точной и актуальной информации. С помощью вызываемых функций можно дописать кастомный код, чтобы расширить возможности своего агента.

Источник изображения: DigitalOcean

Встроенные ограничители (guardrails) позволяют повысить достоверность ответов агента, помогая отфильтровывать неправильные или ненадлежащие результаты. А возможность частных подключений и наличие готового интерфейса для чат-ботов упрощают запуск этих агентов на веб-сайте клиента. В будущем появится возможность обращаться к источникам данным по URL, поддержка конвейеров AgentOps и CI/CD, тонкая настройка моделей и многое другое.

Компания Microsoft объявила о новом этапе сотрудничества с OpenAI. В числе прочего пресс-служба IT-гиганта упомянула о взаимодействии в рамках проекта Stargate. По данным Microsoft, партнёрство, развивавшееся с 2019 года, перешло в новую фазу. Не исключено, что публичное заявление компании — ответ на волну слухов, появившихся после изменения политики использования OpenAI облачных ресурсов. Многие буквально уверены, что Редмонд теряет хватку и упускает OpenAI из сферы своего влияния.

Возможно, поэтому компания сама спешит сообщить, что если раньше партнёрское соглашение об использовании облаков было эксклюзивным и OpenAI могла пользоваться только ресурсами Microsoft (в одном случае Oracle с оговорками), то теперь она сможет прибегать к помощи сторонних облачных провайдеров чаще. У Microsoft сохранится право «первого отказа» и сначала OpenAI по-прежнему должна обращаться за облачными ресурсами именно к ней, и лишь в случае их недоступности — к другим провайдерам.

При этом Microsoft подчёркивает, что OpenAI недавно вновь обязалась использовать Azure в ещё больших масштабах для поддержки своих продуктов и обучения моделей. Также компания напоминает, что ключевые элементы партнёрского соглашения не изменятся до окончания договора в 2030 году. Гиперскейлер сохранит доступ к интеллектуальной собственности OpenAI, предполагается обмен выручкой в соответствии с существующими договорённостями и сохранятся эксклюзивные права Microsoft на API ИИ-стартапа.

Источник изображения: Microsoft

В частности, Microsoft сохраняет право использовать интеллектуальную собственность OpenAI, включая ИИ-модели, в продуктах вроде Copilot. API OpenAI будут эксклюзивно использоваться в облаке Azure и доступны посредством Azure OpenAI Service. Соглашение означает, что клиенты будут получать доступ к самым передовым моделям на платформе Microsoft напрямую от OpenAI. А выручкой компании будут обмениваться в двухстороннем порядке, это будет на руку обеим благодаря росту использования новых и уже существующих моделей.

Наконец, Microsoft подчеркнула, что остаётся главным инвестором OpenAI, обеспечивая компанию средствами и облачными ресурсами для поддержки развития — одной из ключевых выгод самой Microsoft является поступательный рост стоимости ИИ-стартапа. Сейчас OpenAI участвует в многомиллиардном американском ИИ-проекте Stargate совместно с Oracle и SoftBank (помимо Microsoft), поэтому дополнительные ресурсы ей, безусловно, понадобятся.

Стартап Render Services объявил о привлечении $80 млн инвестиций в рамках раунда финансирования серии C, доведя общий объём финансирования до $157 млн. Раунд возглавила Georgian. Также в нём приняли участие 01A, Avra наряду с существующими инвесторами Addition, Bessemer Venture Partners, General Catalyst и South Park Commons Fund. Также стартап сообщил о том, что количество разработчиков, использующих его платформу, превысило 2 млн.

Как утверждает Render, с помощью его платформы разработчикам гораздо проще запускать приложения, сервисы и веб-сайты в облачной инфраструктуре по сравнению с традиционными платформами, такими как AWS. Платформа Render устраняет необходимость для разработчиков разбираться со сложными конфигурациями и настройками облачных инфраструктур. Она автоматизирует рутинные задачи по управлению инфраструктурой, позволяя разработчикам сосредоточиться исключительно на своих приложениях. Разработчикам достаточно подключить свой репозиторий GitHub или GitLab, и платформа тут же предложит команды для развёртывания приложения.

Источник изображения: Render

Основатель и гендиректор Render Анураг Гоэл (Anurag Goel) сообщил SiliconANGLE, что платформа компании гибче, чем традиционные бессерверные решения, и способна поддерживать гораздо более полный набор рабочих нагрузок, в том числе выполняющихся очень долго. Он отметил, что многие клиенты переходят на платформу Render с других платформ, потому что им нужно использовать LLM API и веб-сокеты, а традиционные FaaS и бессерверные решения не отвечают их потребностям.

В числе преимуществ Render Гоэл назвал более быстрое развёртывание и возможность простого масштабирования. Render автоматизирует необходимую подготовку инфраструктуры, не заставляя разработчиков возиться с настройкой Kubernetes или других сред, говорит глава стартапа. Также у платформы Render ниже стоимость владения по сравнению с конкурентами.

Хольгер Мюллер (Holger Mueller) из Constellation Research отметил, что Render облегчает работу разработчиков, поскольку большинство публичных облаков стали невероятно сложными в управлении и эксплуатации. «Управление инфраструктурой отнимает у разработчиков много времени и ресурсов, поэтому приятно видеть альтернативу, такую как Render, которая справляется с этим», — заявил аналитик.

Компания «Базальт СПО» сообщила о релизе сертифицированного ФСТЭК обновления операционной системы «Альт СП» 10.2. Платформа построена на базе ядра Linux, представлена в редакциях для рабочих станций и серверов и может применяться в организациях, предъявляющих высокие требования к обеспечению защиты обрабатываемых данных и информационной безопасности корпоративной IT-инфраструктуры.

Дистрибутив платформы «Альт СП» 10.2 поставляется с сертифицированными ФСТЭК России средствами виртуализации и контейнеризации, а также СУБД PostgreSQL версии 16.6, отвечающей требованиям ведомства по 4 классу защиты. Согласно новым нормам регулятора в состав ОС включены программные интерпретаторы (php, perl, lua, python, nodejs) и веб-сервер (nginx), прошедшие испытания по выявлению уязвимостей и недекларированных возможностей в ПО в соответствии с методикой ФСТЭК России.

Источник изображения: «Базальт СПО» / basealt.ru

В числе прочих изменений и доработок ОС «Альт СП» 10.2 фигурируют обновлённые средства управления контейнерами и виртуальными машинами, новые инструменты мониторинга событий безопасности и ограничения доступа к USB-устройствам. Также сообщается об улучшениях пользовательского интерфейса платформы, обновлении среды Java, добавлении корневых сертификатов для сайтов от российского центра сертификации ООО «ТЦИ», реализации поддержки «Сигнатуры-L» — разработанной Банком России системы криптографической авторизации электронных документов и интеграции с платформой идентификации и управления доступом Keycloak.

В числе прочих изменений разработчик отмечает появление сборок дистрибутива «Альт СП» 10.2 для рабочих станций с российскими процессорами Эльбрус 8СВ и Эльбрус 2С3, включение в инсталляционный пакет ОС для серверов программного комплекса для централизованного управления рабочими станциями и учётными записями пользователей «Альт Домен» (аналог Microsoft AD) и добавление модуля Linstor, предназначенного для управления блочными устройствами хранения данных. ОС зарегистрирована в реестре российского ПО и может применяться государственными и коммерческими организациями при реализации программ по импортозамещению зарубежных софтверных продуктов.

ИИ-компания Nebius B.V. (бывшая Yandex N.V.) анонсировала обновление платформы «инференс как услуга» для разработчиков. В частности, добавлены новые open source модели, предназначенные для преобразования текста в изображение, сообщает Silicon Angle. В скором времени в сервисе появятся модели для преобразования текста в видео.

Nebius AI Studio представляет собой гибкую, удобную для пользователей среду для разработчиков, решивших заняться созданием ИИ-приложений, говорит компания. Помимо обеспечения доступа к обширному набору больших языковых моделей (LLM), решение является одним из самых доступных с точки зрения стоимости. Поскольку компания управляет своей собственной облачной инфраструктурой, она может обеспечить одну из самых низких цен за токен на рынке, подчёркивает Nebius. Кроме того, предлагается гибкая ценовая модель — чем больше ресурсов потребляется, тем они дешевле.

Источник изображения: Nebius

Ранее компания называлась Yandex N.V. — это была родительская структура российского «Яндекса». Позже она продала поисковый и некоторые другие бизнесы, но сохранила ЦОД за пределами России (и даже намерена строить новые) и, наконец, превратилась в облачный инфраструктурный ИИ-сервис. На этой инфраструктуре и работает Nebius AI Studio.

Обновление добавило модели Flux Schnell и Flux Dev, разработанные ИИ-стартапом Black Forest Labs Inc. — позиционирующим себя как одного из конкурентов OpenAI. Разработчики, создающие ИИ-приложения в Nebius AI Studio, смогут напрямую интегрировать в них новые модели. В компании утверждают, что она обеспечивает одну из самых высоких скоростей рендеринга — изображения создаются за секунды. Приложения, создаваемые с использованием Nebius AI Studio, могут поддерживать обработку до 100 млн токенов в минуту, сообщает пресс-служба компании.

Компания Databricks, основанная в 2013 году, объявила об окончательном закрытии раунда финансирования Series J, в ходе которого на развитие привлечено $10 млрд. Кроме того, Databricks получила дополнительное долговое финансирование на сумму $5,25 млрд.

Databricks разработала платформу машинного обучения, анализа и обработки данных. Компания предоставляет функции, которые позволяют предприятиям настраивать или кастомизировать модели ИИ. Databricks также помогает заказчикам в развёртывании собственных приложений на базе генеративного ИИ.

Источник изображения: Databricks

В раунде Series J приняли участие Thrive Capital, Qatar Investment Authority, Temasek, Macquarie Capital и Meta✴ Platforms. Полученные средства будут использованы для разработки новых ИИ-продуктов, приобретения сторонних фирм и расширения международных операций с целью усиления рыночных позиций. Инвестиции со стороны Meta✴ Platforms укрепят сотрудничество двух компаний в области ИИ, которое сфокусировано на больших языковых моделях семейства Llama. После привлечения финансирования Databricks получила рыночную оценку в $62 млрд.

Вместе с тем долговое финансирование на $5,25 млрд включает нефинансируемый возобновляемый кредит на $2,5 млрд и срочный кредит на $2,75 млрд. В этой программе участвуют JPMorgan Chase, Barclays, Citi, Goldman Sachs и Morgan Stanley, а также ряд других финансовых учреждений.

Отмечается, что на сегодняшний день более 10 тыс. организаций по всему миру, включая Block, Comcast, Condé Nast, Rivian, Shell и свыше 60 % компаний из списка Fortune 500, используют платформу Databricks Data Intelligence. Она помогает в решении комплексных задач, таких как раннее выявление и лечение заболеваний, разработка новых способов борьбы с изменением климата, обнаружения финансового мошенничества, создание фармацевтических препаратов и пр. Штаб-квартира Databricks расположена в Сан-Франциско (Калифорния, США), а представительства действуют по всему миру.

«Базальт СПО» при поддержке Института программных систем им. А.К. Айламазяна РАН проводит XX Ежегодную конференцию «Свободное программное обеспечение в высшей школе» (OSEDUCONF).

Мероприятие состоится 7-9 февраля 2025 года в городе Переславле-Залесском на базе ИПС РАН. В нем примут участие преподаватели и сотрудники образовательных организаций, студенты и аспиранты из разных вузов, разработчики и продвинутые пользователи СПО. На конференции обсудят темы, связанные с разработкой свободного программного обеспечения и перспективы его развития, расскажут об опыте внедрения и использования СПО в образовательном процессе.

Сроки подачи заявок:

• от слушателей, которым необходим трансфер — до 3 февраля 2025 года;
• от слушателей, которым не нужен трансфер — до 5 февраля 2025 года.

Источник изображения: «Базальт СПО»

Видеозаписи докладов и презентации будут размещены в открытом доступе в VK Видео и на странице мероприятия. Тезисы докладов выйдут отдельным сборником и будут опубликованы в национальной библиографической базе данных научного цитирования РИНЦ.

Участие бесплатное.

По вопросам, связанным с докладами, тезисами, программой конференции, регистрацией, размещением, трансфером можно обратиться к организаторам по электронной почте conference@lists.altlinux.org.

VK Tech анонсировал Secure Cloud, защищённое решение на базе VK Cloud, представляющее собой изолированную облачную платформу, предназначенную для создания, развития, поддержки и масштабирования государственных информационных систем (ГИС) и информационных систем персональных данных (ПДн).

Платформа Secure Cloud предлагает готовую вычислительную инфраструктуру для органов государственной власти, государственных внебюджетных фондов, федеральных органов исполнительной власти и крупных компаний с высокими требованиями к обеспечению информационной безопасности.

Secure Cloud получила аттестат соответствия №3740.00021.2024 от 16 декабря 2024 года по требованиям безопасности информации, предъявляемых к ГИС первого класса защищенности (К1) и ИСПДн второго уровня защищенности персональных данных (УЗ2), что подтверждает её соответствие требованиям нормативных документов ФСТЭК и ФСБ России в области защиты информации и готовность к размещению государственных информационных систем.

Источник изображения: VK Tech

Secure Cloud разработана на кодовой базе облачной платформы VK Cloud, сертифицированной ФСТЭК России. Вся инфраструктура построена на российском оборудовании, что служит гарантией её импортонезависимости. В компании также сообщили о планах расширить функциональность платформы, добавив возможность размещения в облаке объектов критической информационной инфраструктуры (КИИ) и платформенных сервисов (PaaS) для работы с КИИ.

Новым членом ассоциации CISPE, объединяющей преимущественно небольших облачных провайдеров Европы, стала компания Microsoft. Примечательно, что европейская структура ранее неоднократно подавала жалобы на IT-гиганта в связи с антиконкурентными практиками в области лицензирования ПО, сообщает The Register. Впрочем, не все в CISPE довольны появлением нового участника, а по словам одного из экспертов, теперь мелкие провайдеры выглядят как «марионетка Microsoft».

Целью создания CISPE декларируется содействие облачным сервисам в Европе, где сегодня доминируют AWS, Microsoft и Google, которым в совокупности принадлежит более 70 % рынка облаков. В CISPE подтвердили, что Microsoft станет 39-м партнёром. Препятствий к этому нет — группа включает представителей облачных бизнесов региона, включая гиперскейлеров вроде AWS. В ассоциации заявляют, что это шаг к росту CISPE и есть много областей, где цели всех организаций совпадают. Среди них, к примеру, автоматизация выполнения нового европейского закона, упрощающего переход из облака в облако.

Совет директоров CISPE, состоящий из десяти человек, проголосовал за присоединение Microsoft, хотя решение было принято не единогласно. Против предсказуемо выступила AWS, которая, в частности, не согласна с практиками соперника в области использования ПО в облаках. В самой Microsoft приветствовали решение CISPE принять заявку на роль неголосующего члена и пообещали сконцентрироваться на построении конструктивного партнёрства, способного поддержать европейских поставщиков облачных услуг. Разумеется, невозможность Microsoft голосовать отчасти успокоила другие компании, чей бизнес несопоставим с масштабами работы Microsoft.

Источник изображения: krakenimages / Unsplash

В своё время CISPE (и отдельно AWS) неоднократно критиковали практику лицензирования ПО Microsoft, которая подразумевает в разы более высокую плату за использование некоторого ПО компании вне Azure. В ноябре 2022 года CISPE подала жалобу в Еврокомиссию, но после длительных переговоров Microsoft склонила большинство членов структуры к заключению соглашения об урегулировании конфликта с возможной выплатой до €30 млн ($31 млн), предоставлением улучшенной версии Azure Local (ранее Azure HCI Stack) и приостановкой лицензионных аудитов Microsoft на два года.

Примечательно, что Google тоже пыталась присоединиться к CISPE и даже предлагала многомиллионные суммы и облачные кредиты в обмен, желая получить место в совете директоров ассоциации и продолжить борьбу с Microsoft в правовом поле. Это не нашло отклика у участников CISPE. Позже Google присоединилась к группе Open Cloud Coalition (OCC), которую в Microsoft называют «лоббистским фронтом» — она призывает положить конец политике «ограничительного лицензирования».

Ранее тактику продаж Microsoft называли «налогом на программное обеспечение». Так, в CISPE заказывали исследование, показавшее, что госсектор и бизнес в Европе ежегодно переплачивает до €1 млрд (чуть более $1 млрд) за запуск разных типов ПО Microsoft в облаках за пределами Azure. С тех пор Google уже подавала жалобу, связанную с этой проблемой, в Еврокомиссию.