[Comm] Сертифицированный дистрибутив

[Михаил Шувалов]

В Пнд, 11/05/2009 в 15:42 +0400, Aleksey Novodvorsky пишет:
> 11 мая 2009 г. 15:12 пользователь Михаил Шувалов <mike на shuvaloffs.org> написал:
> > В Пнд, 11/05/2009 в 10:48 +0400, Хихин Руслан пишет:
> >> Здравствуйте Михаил Шувалов
> >>  > А вот интересно. Дистрибутив сертифицирован ФСТЭК. Это
> >>  > хорошо. А вот как
> >>  > его обновлять? Ладно там какие-то улучшения, а устранения
> >>  > уязвимостей? С
> >>  > этим как быть? Или для сертифицированных дистрибутивов идут
> >>  > отдельные,
> >>  > сертифицированные, обновления? Сомневаюсь...
> >> Как я помню - любое обновление сертифицированного ПО требует, как
> >> мимнммум, утверждение сертифицирующем органом. Если превышен
> >> определённый процент, то требуется новая сертификация (за новые
> >> деньги).  Так, что выгоднее не обновлять такие дистрибутивы.
> >
> > Ну а если нашлась критическая уязвимость в одном из компонентов
> > сертифицированного дистрибутива? По идее вина в этом
> > разработчика/сертификационного центра (ФСТЭК). Получается клиент должен
> > выкладывать свои кровные за чужие ляпы? Бред какой-то (ничего
> > личного :) )
> 

> На самом деле, сертификация обновлений не может быть совсем быстрой,
> но реально выгодной производителям и сертифицирующим организациям она
> станет лишь при массовом внедрении сертифицированных продуктов. Другое
> дело, что их массовое внедрение -- нагрузка на потребителя.
> Конечно, сертификация, при всей ее неоходимости в отдельных случаях, у
> нас стала вариантом лицензирования ПО, просто с менее строгим
> наказанием. Это плохо, хотя и позволяет мне как производителю иметь
> свою копеечку. Мне важно лишь точно объяснить потребителю, нужен ему
> сертификат или нет, чтобы он не тратил деньги без крайней
> необходимости, чтобы не было заведомого обмана с моей стороны.
> Я вижу сейчас только один способ избежать таких принудительных продаж
> -- сертифицировать процесс производства системы и проверять его
> уполномоченными сертифицирующими организациями. Но это заведет нас в
> ловушку "национальной ОС".

А почему бы и нет? Вспомним, как было раньше: на каждом (ну или почти на
каждом) (около)оборонном заводе присутствовали сотрудники определенных
органов. А чем ОС и ПО, установленные на компьютере в
государственной/муниципальной организации сильно отличается от
продукции, выпускаемой на этих самых заводах? Конечно уровень
секретности в каком-нибудь "собесе" и министерстве обороны должен быть
разный, но тем не менее некий, хотя бы минимальный контроль должен
присутствовать.

> Вообще говоря, любой контроль за информацией ведет к ужесточению
> госрегулирования. И здесь уж или смириться с продажей на лотках баз
> данных с информацией о нас самих, или со всеми последствиями
> огосударствления разработки и распространения ПО. Я как гражданин
> предпочел бы первое, но это мое, совсем не общее мнение.
> 
Это описка? Наверное имелось в виду второе? Я, например, совершенно не
хочу, что бы любой мог просмотреть всю мою подноготную. И это я, простой
гос. служащий. А какого людям, занимающимся бизнесом?

> В заключение хочу сказать, что проблема эта весьма сложная, на уровне
> дискуссий либералов и государственников,  и я бы не стал усматривать
> здесь злую волю на уровне системы. Конечно, на уровне исполнителей эта
> злая воля всегда может быть.
> 
Я вижу тут только одно решение: во всех (около)государственных
организациях (и организациях стратегического значения) должны стоять
определенным образом проверенные ОС и ПО.

-- 
С уважением,
Михаил Шувалов