Если кто заинтересован в вопросах безопасной загрузки (в основном в части UEFI+Linux) и хочет присоединиться, напишите

Более полную информацию вы можете традиционно прочитать в Орг. Вопросах: https://news.1rj.ru/str/sdl_community/3236

Коллеги, доброго дня!
Утверждена концепция ежегодной встречи сообщества разработчиков доверенного ПО на полях открытой конференции ИСП РАН 1 декабря.

Следуя принципу "лучшее - враг хорошего", и с учётом аншлага на прошлогодней встрече, общую концепция мероприятия решено не менять. Во встрече примут участие представители и руководители структурных подразделений ФСТЭК России и иных отечественных регуляторов, руководители направлений ИСП РАН, представители ведущей отечественной промышленности и экспертных организаций.

Наиболее важными темами, подлежащими дискуссии, как и в прошлом году будут:
- разделение активностей по анализу компонент с открытым исходным кодом и учет результатом при сертификационных испытаниях, в том числе на примере деятельности центра по анализу ядра Линукс;
- развитие перспективных средств и методик анализа программного кода и архитектуры.

Традиционно в ходе встречи состоится "отчетная" демонстрация текущих возможностей инструментов статического анализа, определения поверхности атаки, и фаззинг-тестирования, также будут анонсированы планы по развитию и интеграции инструментов в 2023 году.

При этом совсем без новшеств мы конечно же не обойдёмся, в частности:
- сообщество кратно выросло за 2022 год, поэтому встреча будет проводиться в основном (синем) зале;
- членами сообщества стал целый ряд образовательных организаций, поэтому как общим вопросам образования (в том числе целевого), так и конкретным программам взаимодействия с молодыми энтузиастами разработки безопасного ПО будет уделено особое внимания;
- в обсуждении будут затронуты бесспорно важные для всех перспективные концепции в области безопасной разработки, конкретный список которых, впрочем, мы пока раскрывать не будем - все любят сюрпризы :)

Для участия в конференции вам необходимо пройти регистрацию по ссылке - число мест увеличено, но по-прежнему ограничено!

Зарегистрировавшихся ранее просим пройти повторную регистрацию в связи с дополнением регистрационной формы.

Небольшое уточнение.
Из-за технических проблем Таймпада не получается запустить повторную регистрацию. Если вы уже регистрировались и планируете участвовать во встрече разработчиков - пришлите e-mail, на который производилась регистрация, на почту ryzhov@ispras.ru. Коллеги вас перерегистрируют.

Для тех, кто заинтересован в теме доверенной загрузки, но чьи почтовые адреса нам не были известны, продублирую здесь:
- доступен краткий протокол ВКС по вопросам доверенной загрузки ОС с применением UEFI Secure Boot, состоявшегося 27 октября 2022 года
- создан список рассылки рабочей группы по вопросам доверенной загрузки: lvc-secure-boot@linuxtesting.org

Для получения копии протокола и добавления в список рассылки, сообщите в личку адрес электронной почты

Коллеги, хотелось бы получить обратную связь от нашего сообщества.
ИСП РАН на регулярной основе отслеживает тенденции в IT, в частности – востребованность статического анализа для различных языков программирования.
Исследования по открытым источникам позволяют оценить текущие мировые тренды, но очень хотелось бы обновить обратную связь от отечественных разработчиков безопасного ПО и разработчиков СЗИ в частности: на каких языках ведется разработка, насколько важен тот или иной язык для реализации функций безопасности.
Эта информация будет крайне полезна для планирования развития технологий статического анализа в нашей стране.
Высылайте до 18 ноября информацию на почту tk362@ispras.ru, тема письма – «Языки безопасного ПО».

Как минимум было бы интересно увидеть от вас информацию в объеме:
1. Название компании
2. Какие продукты вы разрабатываете
3. Используемые языки программирования в порядке приоритета

По возможности, и в первую очередь для лицензиатов ФСТЭК и иных отечественных регуляторов, просим предоставить информацию в более расширенном виде:

1. Название компании
2. Ориентировочное число сертифицируемых продуктов
3. Уровни доверия, на которые ведется сертификация
4. Типы СЗИ (ОС, СУБД, МЭ, СОВ, .. )
5. Используемые языки программирования в порядке приоритета
6. Используемые фреймворки (Poco, Spring и т. д.)
7. Среды функционирования, на которые рассчитано разрабатываемое ПО

Коллеги, доброго вечера.

В связи с большим числом вопросов, возникающих после публикации приказа ФСТЭК №172 от 19 сентября 2022 о внесении поправок в Положение о сертификации, в частности пункта, посвященного "...сертификату соответствия процедур программного обеспечения требованиям национальных стандартов в области защиты информации...", получен официальный комментарий начальника 2 Управления ФСТЭК России Д. Н. Шевцова, состоящий из следующих тезисов:

1. В настоящий момент требования и методические рекомендации по процедуре таковой сертификации находятся в процессе проработки, на начальной стадии. Появление нормативно-правовой базы по данному вопросу ожидается не ранее второй половины 2023 года.

1.а. Состав и порядок аккредитации организаций, обладающих правом на проведение таковой сертификации, в настоящий момент также не определён.

2. Любые коммерческие/некоммерческие предложения по подготовке к таковой сертификации, по итогам которых вам обещают (гарантируют) формальное соответствие критериям данной процедуры и соответственно успешное её прохождение, ФСТЭК России рекомендует считать юридически ничтожными до момента, когда указанные требования и методические рекомендации будут подготовлены и вступят в законную силу (см. п.1).

Пожалуйста распространите данную информацию среди своих коллег.

Также позволю себе частное мнение по данному вопросу - ожидается, что сертификация будет направлена на проверку реальных процессов безопасной разработки в организациях: выбранных инструментов анализа и качества их конфигурирования, частоты и регулярности применения инструментов и выполнения процессов, числу и проф. пригодности специалистов, качеству выполняемого анализа (в том числе в сравнении с результатами совместного анализа OS-пакетов под эгидой Центров компетенций ФСТЭК России и ИСП РАН) и т. п., а не только и не столько проверки собственно документов, описывающих данные процессы. В связи с этим в выстраивании процессов в первую очередь стоит ориентироваться на требования Методики ВУ и НДВ ФСТЭК России, Требований доверия, разрабатываемых ГОСТов по стат., дин. анализу, безопасному компилятору (многие участники сообщества участвуют в проработке указанных документов), а также на публично освещаемую деятельность отечественных лидеров внедрения SDL-практик, таких например, как Лаборатория Касперского (можно ознакомиться с видео по ссылке).

Уважаемые коллеги!

Опубликована программа Открытой конференции ИСП РАН: https://www.isprasopen.ru/#Agenda

‼️ Напоминаем также, что сегодня, 24 ноября, – последний день регистрации на конференцию. Если вы собираетесь участвовать очно – обязательно зарегистрируйтесь, это необходимо для прохода в РАН:
https://www.isprasopen.ru/#Registration

Коллеги, доброго дня. Несколько дополнений к сообщению от @onikusan.

1. Встреча 11:15 - 14:00 транслироваться не будет, вход по спискам, при прохождении регистрации по приведённой ссылке обязательно поставьте галочку напротив пункта "Планирую принять участие во встрече" и дождитесь подтверждения. В случае, если оно не приходит, воспользуйтесь инструкцией.

2. К участию в президиуме данной встречи приглашены представители всех регуляторов (на текущий момент от всех получены подтверждения участия, но мы никогда не можем исключать форс-мажора), те из них, кто пожелают выступить с докладами, разумеется будут иметь такую возможность :)

3. Мероприятия в синем зале до 14:00 в первую очередь нацелены на руководителей компаний и организаций.

4. Мероприятия в синем зале после 14:00 в первую очередь рассчитаны на инженеров всех рангов - обязательно берите ноутбуки, будет организована раздача лицензий по WiFi, дополнительные раздаточные материалы к Natch будут выложены заранее здесь. В части мастер-класса Natch - приедет вся команда разработчиков, будем обсуждать направления развития инструмента, учиться пользоваться и параллельно писать обучающее-видео. В части встречи по критическим компонентам будем обсуждать конкретные механизмы работы, опыт и возможно прямо там создадим/трансформируем некоторые репозитории.

5. Для тех участников, кто планирует в т. ч. общение в неформальной обстановке, либо едет из другого города, существует чат гостей конференции ИСП РАН (https://news.1rj.ru/str/ispras_friends), предназначенный для взаимодействия по любым неформальным вопросам.

Коллеги, доброго дня, всех с праздниками и с наступившим 2023 годом

В сообщество вливаются новые участники, при этом список чатов/каналов сообщества стал достаточно обширным и не все знают про существующие ресурсы. Представляется полезным периодически публиковать список ресурсов сообщества с их краткой аннотацией.

Ссылки на чаты/каналы с кратким описанием приведены в сообщении: https://news.1rj.ru/str/sdl_community/3676

Коллеги, доброго дня!
В Орг. вопросах опубликован анонс SDL-дня 16го февраля на ТБФоруме: https://news.1rj.ru/str/sdl_community/3929

Коллеги, всем доброго дня в чате. Многие добавленные были "убиты" ботом - видимо некорректно введена капча. Особенно часто это бывает, когда пользователя добавляют, а он об этом и сам не знает - капча висит две минуты всего. Пожалуйста, передайте своим коллегам, чтобы попробовали зарегистрироваться ещё раз.

Коллеги, доброго дня, выложено видео с ТБ Форума, 15е число.

Коллеги, всем доброго дня и продуктивной рабочей недели!

В четверг 2го марта в диапазоне 15:00-16:30 состоится очередная встреча рабочей группы по совместному анализу .NET6 под эгидой Центра компетенций по критическим компонентам.

По итогам заканчивающейся итерации достигнуты конкретные результаты - как в формировании golden-репозитория и сборочного процесса .NET6 + анализа его с помощью Svace, так и формирования регламента и типового комплекта описания характеристик анализа сборочных конфигураций, который будет переноситься и на остальные репозиторий Центра.

Приглашаем принять участие во встрече также коллег из рабочей группы nodejs, а также из потенциально формируемых иных групп (nginx и т. д.), поскольку в первой части встречи мы как раз планируем разобрать общие принципы совместной работы и ознакомить с ними вновь прибывающих участников. Собственно .NET-специфичные вопросы будут во второй части встречи.

Ссылка на мероприятие будет опубликована в Орг. вопросах в день мероприятия, ВКС будет в zoom (более вероятно) или jitsi. Запись традиционно будет выложена в nextcloud Центра компетенций.

@alexeykhoroshilov в качестве предкоммьюнике - возможно сделать ещё и общую почтовую рассылку? Для всех участников всех попакетных рабочих групп, чтобы как раз публиковать там общерепозиторные вопросы. Тогда выстроится иерархия - попакетно каждый участвует в своих пакетных рассылках, общая - про общие вопросы, а данный чат - уже для каких-то быстрых обсуждений и доведения информации по встречам, ссылок и т. п.?

А то у нас сейчас в .NET6 намешано и по собственно .NET6, и по общим вопросам. А не все в ней состоят.

sdl-community@linuxtesting.org создали и текущих участников в него добавили

Уважаемые коллеги, приветствую всех участников чата от лица Правительства Нижегородской области! 
 
Наш регион является одним из лидеров Российской Федерации в области IT-технологий, и, особенно с учётом веяний времени, активно следит и участвует в развитии образовательных программ в области IT и культуры безопасной и качественной разработки в целом. 
 
29 марта в Нижнем Новгороде состоится ежегодный бизнес-форум «Будущее региона - 2023», организатором которого выступает издание «Деловой квартал». В треке "Информационная безопасность" будет затронут широкий спектр вопросов информационной безопасности, в том числе тенденции рынка IT-специалистов и развития IT-инфраструктуры в регионе, а также вопросы сертификации программного обеспечения в современных реалиях. 
 
В ходе мероприятия запланировано выступление представителя Института Системного Программирования РАН им. В. П. Иванникова. Выступление посвящено системному подходу при разработке и последующей сертификации безопасного и качественного ПО, в числе важнейших аспектов которого:
- развитие кадрового потенциала и инженерной культуры IT-специалистов на основе содружества региональных и столичных ВУЗов и исследовательских лабораторий;
- интеграционная деятельность Центров Компетенций ФСТЭК России по развитию методик и инструментов разработки и анализа ПО;
- формирование активного и компетентного экспертного сообщества.    
 
Участие в мероприятии для гостей бесплатное (правила сообщества по непубликации коммерческих анонсов в данном вопросе мы знаем и поддерживаем), желающим принять участие необходимо пройти регистрацию на сайте (по ссылке выше). Будем рады видеть вас на гостеприимной Нижегородской земле!

Уважаемые коллеги!

Приглашаем вас принять участие в десятой научно-практической конференции OS DAY, которая состоится 22-23 июня в МИАН РАН в Москве.

‼️Заявки на доклады принимаются до 12 мая:
https://www.osday.ru/speakers-info.html#speaker

Для участия докладчикам и слушателям необходимо зарегистрироваться до 14 июня:
https://www.osday.ru/index.html#registration

Центральная тема конференции: формирование единой экосистемы российских операционных систем

Важнейшие вопросы, которые будут обсуждать участники:
✔️единая среда разработки
✔️создание прикладного программного обеспечения, совместимого с российскими ОС
✔️построение единой цифровой платформы на основе российских ОС

Будем рады видеть вас на конференции!