CNews удивительные. 🤡 У них не только карты ИБ-вендоров смешные. Выпустили ТОП вендоров отечественных ОС. В одном топе у них вендоры российских десктопных/серверных Linux-ов и вендор мобильной ОС. И рисуют ОМП Авроре 0.9 % "рынка продаж", типа аутсайдеры. А сколько, извините, остальные вендоры заработали на мобильных ОС за год? И есть ли они у них вообще? Ну, кроме гипотетической РОСА Мобайл. 🙂
ROSA MOBILE подаёт признаки жизни. Ъ пишет:
"Структуры бывшего министра связи Леонида Реймана планируют наладить в 2023 году производство потребительской электроники с собственной мобильной и десктопной операционной системой РОСА. Речь идет о смартфонах, планшетах и ноутбуках — их сборку в Зеленограде обеспечит «Рутек»."
На официальном сайте НТЦ ИТ РОСА выложены документы по мобильной ОС РОСА за 2022 год: описание применения, руководство по установке (на смартфон AYYA T1), руководство по эксплуатации. В руководстве по эксплуатации пишут, что "рабочий стол основан на кастомизированной версии рабочего пространства Plasma Mobile", то есть на открытом проекте от KDE. Приложения для Plasma Mobile разрабатывают с использованием UI фреймворка Kirigami. Видимо всё это должно выглядеть +- как PinePhone, но в качестве базового дистрибутива будет не Manjaro, а РОСА.
Для Linux-гика это звучит местами даже интереснее Авроры. 😇 Но уровень зрелости очевидно ниже. Понаблюдаем. 🙂
Бесплатный сканер уязвимостей для Linux от ФСТЭК + OVAL контент для Linux. Продолжаю обозревать крутые штуки от ФСТЭК.
У меня в декабре был пост, что если бы я был регулятор, то обязал бы вендоров сертифицированных Linux-ов привести в порядок бюллетени безопасности, а идеально было бы OVAL контент предоставлять. Так как это делает RedOS. И в каком-то виде это осуществилось. 🤩 Ну не силами Linux-вендоров, а силами ИБ-вендора и регулятора. И с существенными ограничениями. Но факт - вот тебе OVAL-контент для сертифицированных Linux-ов в паблике и бесплатный сканер, который с ним работает.
На сайте ФСТЭК-а выложили бесплатный локальный сканер уязвимостей ScanOVAL в версиях под Linux (раньше был только под Windows). И OVAL-контент к нему. В трёх вариантах:
1. ScanOVAL для ОС Astra Linux 1.6 SE - тестовая версия сканера и OVAL-контент
2. ScanOVAL для ОС Альт 9 - тестовая версия сканера и OVAL-контент
3. ScanOVAL для ОС Роса «Кобальт» - тестовая версия сканера (OVAL-контент пока недоступен)
ScanOVAL это, конечно, не вполне полноценный сканер. Он может сканировать только локалхост. Штатно запускается только в графическом режиме. Т.е. использовать его, чтобы вручную валидировать уязвимости на хостах получится, а приспособить для регулярного сканирования всей инфры скорее всего нет. Понятно зачем сделано, этот продукт не должен рушить бизнес VM-вендорам.
Другой вопрос, который естественно возникает, когда видишь OVAL-контент в паблике, а можно ли его использовать не в составе ScanOVAL? 😏 Например, OpenSCAP-у скормить, свой OVAL сканер написать или интерпретировать во что-нибудь? Ответ: технически реально, а юридически нельзя, т.к. EULA для ScanOVAL это отдельно оговаривает:
"Не допускается осуществлять следующие действия:
…
использовать ПО и (или) описания проверок (включая любые их фрагменты), применяемые в ее составе, с целью создания баз данных или кода, предназначенных для предотвращения угроз безопасности информации;
публиковать, а также распространять от своего имени любые фрагменты описаний проверок, применяемых в составе ПО;
…"
Тоже понятно почему. Идентификаторы дефинишенов, такие как "oval:ru.altx-soft.nix:def:156318", не оставляют сомнений в происхождении контента и понятно, что рушить свой бизнес коммерческому VM вендору совсем не нужно.
Поэтому,
1. Круто, что появилась возможность сканировать сертифицированные отечественные Linux-ы бесплатным решением. Даже если использовать его только в ручном режиме как эталонный сканер, это более чем полезно.
2. Потребность в OVAL-контенте (или просто бюллетенях хотя бы) от Linux-вендора это не снимает, т.к. EULA конечно полноценно использовать контент для ScanOVAL не позволяет, к сожалению.
Это мой личный блог. Всё, что я пишу здесь - моё личное мнение, которое никак не связано с моим работодателем. Все названия продуктов, логотипы и бренды являются собственностью их владельцев. Все названия компаний, продуктов и услуг, упоминаемые здесь, упоминаются только для идентификации. Упоминание этих названий, логотипов и брендов не подразумевает их одобрения (endorsement). Вы можете свободно использовать материалы этого сайта, но было бы неплохо, если бы вы разместили ссылку на https://avleonov.ru и отправили мне сообщение об этом на me@avleonov.com или связались со мной любым другим способом.