Автор Тема: По поводу Минкомсвязи приняло заявки на господдержку разработчиков отечественного ПО (Прочитано 23800 раз)

ruslandh · « **Ответ #105 :** 13.06.2015 06:03:17 »

Цитата: neobht от 12.06.2015 21:36:45

не существует софта, который сможет найти закладки, если их специально включили в код.

Это вы фирмам, профессионально занимающимся сертификацией кода расскажите.

ruslandh · « **Ответ #106 :** 13.06.2015 06:26:23 »

Цитата: neobht от 13.06.2015 04:36:24

Исходники есть и проверяются сборкой, если что. Иначе сертификат не дают.

http://suntechnic.ru/index.php/library/31-dictionaries/212-fstec-distrib-compare.html

neobht · « **Ответ #107 :** 13.06.2015 06:28:20 »

Цитата: ruslandh от 13.06.2015 06:03:17

Цитата: neobht от 12.06.2015 21:36:45
не существует софта, который сможет найти закладки, если их специально включили в код.
Это вы фирмам, профессионально занимающимся сертификацией кода расскажите.

пригласите на форум - расскажу.

neobht · « **Ответ #108 :** 13.06.2015 06:30:53 »

Цитата: ruslandh от 13.06.2015 06:26:23

Цитата: neobht от 13.06.2015 04:36:24
Исходники есть и проверяются сборкой, если что. Иначе сертификат не дают.

http://suntechnic.ru/index.php/library/31-dictionaries/212-fstec-distrib-compare.html

Там несколько уже устаревшая информация. Произошли изменения в законодательстве и классы защиты как таковые постепенно упраздняют.

ruslandh · « **Ответ #109 :** 13.06.2015 06:34:07 »

Если говорить о Windows - сертификация только Windows - это примерно то-же, что сертифицировать только ядро Linux и Xorg и какой-то простой DM.
Сами понимаете - "дистрибутив Windows" - включает в себя очень мало.

ruslandh · « **Ответ #110 :** 13.06.2015 06:34:41 »

Цитата: neobht от 13.06.2015 06:30:53

Произошли изменения в законодательстве и классы защиты как таковые постепенно упраздняют.

Приведите ссылку

ruslandh · « **Ответ #111 :** 13.06.2015 06:38:08 »

Цитата: neobht от 13.06.2015 06:28:20

пригласите на форум - расскажу.

А вы хоть примерно представляете как они работают? Вживую видели их работу? Ну хотя-бы примерный алгоритм того, как они сертифицируют код?

neobht · « **Ответ #112 :** 13.06.2015 06:57:48 »

Цитата: ruslandh от 13.06.2015 06:38:08

Цитата: neobht от 13.06.2015 06:28:20
пригласите на форум - расскажу.
А вы хоть примерно представляете как они работают? Вживую видели их работу? Ну хотя-бы примерный алгоритм того, как они сертифицируют код?

не видел.
просто есть в теории алгоритмов задачи, которые в настоящее время либо не имеют решения,либо являются NP полными. Для решения таких задач либо требуется очень много времени, либо вовсе нет решения.

казалось бы почти элементарная задача - определить завершится ли алгоритм или не завершится. В настоящее время (насколько мне известно) решения этой задачи алгоритмически не существует. А значит потенциально найти куски кода при помощи софта, где программа зависает - очень сложная задача и может быть решена лишь замером времени исполнения, но для этого необходимо произвести перебор всех имеющихся параметров, что не подъемно.

ссылку приведу чуть позже, либо сами посмотрите закон о персональных данных и смежные с ним. сейчас надо на время убежать.

Антон Мидюков · « **Ответ #113 :** 13.06.2015 07:14:40 »

Цитата: ruslandh от 13.06.2015 06:34:07

Если говорить о Windows - сертификация только Windows - это примерно то-же, что сертифицировать только ядро Linux и Xorg и какой-то простой DM.

Фишка ещё вот в чём. Исходники Windows 7 и Windows 2008 R2 действительно предоставили ФСБ, но исходники выпускаемых обновлений не предоставляются. Так что весь смысл сертификации от ФСБ был утерян с выходом первой заплатки

А в ФСТЭК Микрософт исходники вообще не предоставляли! И поэтому уровень доверия минимальный. Ещё бы найти информацию что там ФСБ на сертифицировало и какой сертификат дало. Я вот не нашёл.

ruslandh · « **Ответ #114 :** 13.06.2015 07:23:20 »

http://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty

ruslandh · « **Ответ #115 :** 13.06.2015 07:28:12 »

Цитата: neobht от 13.06.2015 06:57:48

казалось бы почти элементарная задача - определить завершится ли алгоритм или не завершится. В настоящее время (насколько мне известно) решения этой задачи алгоритмически не существует.

Могу "по-секрету" сказать, что они пропускает исходный код через свой спецтранслятор, который вставляет специальные метки, и потом анализируют по этим меткам работу программы. Но это только один из этапов их работы с исходным кодом.

YYY · « **Ответ #116 :** 13.06.2015 08:21:47 »

Цитата: neobht от 13.06.2015 04:36:24

Исходники есть и проверяются сборкой, если что. Иначе сертификат не дают.

исходники виндов? нету. и не проверяются сборкой. так как инструментов доверенных для этого тоже нету...
по тому классу ФСТЭК по которому они сертифицировались исходники не требуется предоставлять - все же можно найти, если есть желание ;)

YYY · « **Ответ #117 :** 13.06.2015 08:25:26 »

Цитата: Антон Мидюков от 13.06.2015 07:14:40

Ещё бы найти информацию что там ФСБ на сертифицировало

в том то и дело.

- вот видите двд-диск?
- да.
- там исходники винды!
- ух ты.
- ну все, посмотрели и будет, сертифицируйте :)

YYY · « **Ответ #118 :** 13.06.2015 08:39:31 »

Кстати, смутно помню... но с 2000 был какой-то инцидент. Исходники предоставляемые спецслужбам стран утекли, но так никто ничего и не собрал - что говорит о полноте предоставления...

https://dev.by/lenta/main/microsoft-uzhe-11-let-pytaetsya-steret-iz-interneta-kod-windows-nt-4-0
http://soft.compulenta.ru/45094/

ruslandh · « **Ответ #119 :** 13.06.2015 08:57:09 »

Вот есть копии сертификатов ALT Linux:

http://www.altlinux.ru/fileadmin/content/Sertifikat_2317_prodlennyi.jpg
http://www.altlinux.ru/fileadmin/products/alt_linux_spt_cert_fstec_2317-sm.jpg

Могу и других компаний найти, а что-то не одного сертификата от НСД на Windows не вижу. Есть только ОУД (оценочный уровень доверия).

Форум сообщества
Альт Линукс