Очередная конференция OS DAY, состоявшаяся в Москве, собрала в здании Российской академии наук теоретиков и практиков системного программирования, производителей аппаратного обеспечения, заказчиков и представителей регулятора в сфере обеспечения технической защиты информации — Федеральной службы по техническому и экспортному контролю. Программисты обсудили важнейшую для профессионалов в этой области тему — надежность программного обеспечения. О том, какие цели были поставлены перед конференцией и ее значении для всей IT-отрасли, “Поиску” рассказал директор Института системного программирования им. В.П.Иванникова РАН, член-корреспондент РАН, председатель программного комитета OS DAY Арутюн АВЕТИСЯН (на снимке).
— Арутюн Ишханович, как вы оцениваете итоги конференции? Что принципиально нового появилось на OS DAY в этом году?
— За пять лет конференция стала уважаемой коммуникационной площадкой для специалистов по системному программированию, производителей аппаратного обеспечения и заказчиков. И вот уже второй год мы проводим ее в нынешнем формате на базе Российской академии наук под руководством консорциума из девяти организаций. Стало больше участников, среди них появились новые компании, представители вузов.
В этом году мы организовали две специальные секции на OS DAY. Одна была связана с образованием и подготовкой кадров для отрасли. На другой обсудили вопросы, касающиеся современных требований к ПО со стороны регулирующих органов и дальнейшие наши совместные шаги по развитию законодательной базы.
В том, что касается безопасности и надежности, во всем мире драйвером развития всегда, так или иначе, выступают именно регуляторы — государственные структуры или отраслевые объединения, которые выполняют ту же роль. Это происходит в том числе потому, что для любой компании использование новых технологий обеспечения безопасности и надежности ведет к значительному удорожанию процесса разработки.
Конференция показала, что конструктивные процессы идут, развиваются связи между компаниями и отдельными специалистами. Важно и то, что люди заговорили о более масштабных, чем раньше, проектах. Появляется понимание, что, когда обе стороны побеждают, это лучше, чем один победитель и один проигравший. Наверное, так происходило бы и само по себе, но конференция как независимая авторитетная площадка дает возможность такого открытого общения и ускоряет эти процессы.
— Реально достичь полной, стопроцентной надежности программного обеспечения?
— Сегодня все уже понимают, что “серебряной пули”, универсального средства от всех проблем в программировании, нет и не будет. Нет варианта, при котором можно вложить пусть даже и очень значительные ресурсы, создать некую технологию и несколько лет жить спокойно. Даже если оснастить систему всеми возможными средствами навесной защиты, к сожалению, это не сделает ее абсолютно застрахованной.
Если применить все ныне существующие в мире инструменты для анализа кода и устранения уязвимостей, у вас все равно останутся ошибки, которыми могут воспользоваться злоумышленники. Например, вы нашли все уязвимости в исходном коде, но среда, которая компилирует вашу стопроцентно чистую программу из исходного языка в машинный код, автоматически может внести туда эксплуатируемую уязвимость. В таких условиях мы живем. Это связано с природой современных программно-аппаратных платформ.
— Означает ли это, что нельзя разработать программу, которая была бы стопроцентно надежной?
— Не означает, теоретически это возможно. Но мы живем в мире, где нас окружают миллиарды строк кода, и нужно решать задачи не теоретические, а практические. Поэтому нельзя останавливаться ни на день, необходимо постоянное развитие технологий обеспечения надежности на всех этапах жизненного цикла платформ. В том числе после сдачи в эксплуатацию необходимо постоянно продолжать поиск и устранение уязвимостей в работающих системах.
Обеспечение высокого уровня надежности в долгосрочной перспективе — настолько сложный вызов, что ответить на него без постоянного развития фундаментальной науки невозможно. Поэтому исследования и разработки нашего института так востребованы. В качестве примера можно привести статический анализатор Svace, который автоматически выявляет уязвимости безопасности в исходном коде программ. За 15 лет он прошел полный цикл внутри института: от идеи, фундаментальных исследований до разработки готового продукта. Он уже внедрен в промышленности и, замечу, остается собственностью ИСП РАН.
— Впервые за пять лет существования OS DAY на конференции провели секцию по образованию и подготовке кадров. С чем это связано?
— В первую очередь, с пониманием того, что необходимы совместные усилия, что конкуренция не отменяет сотрудничества, а кадровая база нужна всем. IT-отрасль постоянно сталкивается с нехваткой высококвалифицированных кадров, об этом говорилось как в кулуарах, так и в ходе открытой дискуссии. Это — одна из самых больших проблем. Нам необходимо скоординировать усилия еще и в этом направлении, развивать экосистему, в которой воедино слиты образование, наука и индустрия. Экосистему, создающую кадры, которые говорят на одном языке, пользуются одним понятийным аппаратом, опираются на научные школы. Тогда мы получим кадровый ресурс, который можно будет мобилизовать для решения глобальных задач.
— Прошлой весной на OS DAY 2017 была принята резолюция о мерах по обеспечению информационной безопасности. Какова ее дальнейшая судьба?
— Резолюция послужила стимулом для развития новых отношений между участниками конференции, возникли совместные проекты. В частности, мы сформировали программу “Системное программирование и информационная безопасность”. В ней участвуют другие академические организации, ей оказывают поддержку компании, которые работали над резолюцией. Сейчас заканчивается процесс ее утверждения. Если говорить по существу, то мы уже видим, как основные идеи резолюции начинают постепенно воплощаться в жизнь. Компании работают вместе, сотрудничают в разработке технологий, несмотря на то что на рынке кто-то конкурирует.
— Фактически вы начали консолидацию отрасли. Для чего?
— Нам нужно очень цбыстро, буквально за 3-5 лет, выйти на стабильный уровень обеспечения безопасности. Необходимо разрабатывать и развивать на долгосрочной основе огромный стек технологий. Это возможно только при активном совместном участии научных институтов, университетов, регуляторов, IT-компаний. Как я уже сказал, должны слаженно работать компоненты экосистемы: образование, наука и индустрия. И необходимы модели, обеспечивающие эффективное взаимодействие этих компонентов, такие, которые учитывают даже вопросы прав на интеллектуальную собственность. Один из способов организации взаимодействия — создание распределенных центров компетенций, сообществ специалистов по конкретным направлениям. В нашем институте такой опыт имеется — это именно то, что ИСП РАН делает в различных областях системного программирования. Совместными усилиями мы способны существенно расширить возможности IT-сообщества, решать более масштабные задачи и качественно отвечать на глобальные вызовы.
Сергей КОРМИЛИЦЫН
Фотоснимки предоставлены ИСП РАН
Нет комментариев