Прошел по ссылке на HH — Java senior 150-250, т.е. приходишь на 150 и можешь вырасти до 250? Да ладно? Серьезно?
Дальше читать не стал, в принципе не интересны их фантазии
Патчи ради патчей бессмысленны. Астра от Debian на котором она основана отличается процентов на 20%, т.е. Астра это на 80% Debian но, средства защиты, графическая среда, там самобытные.
Вы почему-то исключаете это из рассуждений, хотя речь идет о дистрибутиве а не только о ядре. Конечно обычному пользователю это не нужно, тем более если вы не знаете что там за СЗИ и зачем они нужны… Не понимая сути тематики невозможно понять зачем Астра когда можно поставить было Debian…
ФСТЭК это регулятор, непосредственно работой по написанию кода он не занимается, он выпускает стандарты, условно говоря это аналог NIST.
В РФ работы с вязанные с безопасностью ПО подпадают под закон о лицензируемых видах деятельности, соответственно есть конторы в штате которых есть специалисты которые проводят экспертизу на соответствие требованиям регуляторов (ФСТЭК, ФСБ, МО). Специалистам как правило не выгодно свою подпись ставить под откровенной ерундой, и требования регуляторов по большей части выполняются. Работают там такие же обычные инженеры как и везде, не надо думать что если это для госухи дистр то какие-то упыри в подвалах печатают липовые сертификаты чтобы отмыть деньги. Все достаточно открыто для человека который интересуется, все стандарты есть на сайте ФСТЭК
Закрытый ключ которым вы подписываете пакет выдается индивидуально вам. Вы подписываете пакет (бинарник), и размещаете в целевой системе открытый ключ. После чего как я понимаю появляется возможность проверки подписи пакета. Используется стандартные средства — gpg.
Конечно вам нужно обеспечить безопасность закрытого ключа, кроме того в целевой системе должен администратором быть размещен открытый ключ. Только тогда ПО запустится…
Если пароль короткий то его легко перебрать, соответственно его время жизни должно быть мало
Если человек уволился то нужно иметь четкую процедуру блокировки учетных записей, в больших организациях зачастую информацию об увольнении получить невозможно, и короткое время жизни пароля решает задачу с блокировкой учетных записей уволенных сотрудников
В целом, как я считаю, основное препятствие для внедрения длинных паролей — отсутствие работающих процедур блокировки, смены паролей. Убедить бизнес чисто математическими расчетами думаю нельзя, но если вы 2-3 раза безболезненно сможете провести глобальную смену паролей во всей организации без последствий — с этим уже можно будет идти к бизнесу
К концу лета вероятно. К сожалению не могу найти ссылку с обоснованием. Такое уже было в истории биткойна. Уже сейчас смысла нет видяхи покупать. Вряд ли можно отбить двукратное увеличение цены.
Я не совсем понимаю почему операторы должны доказывать отсутствие сговора. Бремя доказательства лежит на том кто обвиняет. Кроме того отсутствие по правилам логики по моему вообще нельзя доказать.
Наверное не Harper а Harbor? Ощущение что статья переводная, с трудом некоторые моменты можно понять
Дальше читать не стал, в принципе не интересны их фантазии
Или вы по количеству строк считаете?
Вы почему-то исключаете это из рассуждений, хотя речь идет о дистрибутиве а не только о ядре. Конечно обычному пользователю это не нужно, тем более если вы не знаете что там за СЗИ и зачем они нужны… Не понимая сути тематики невозможно понять зачем Астра когда можно поставить было Debian…
Какие вы видите альтернативы и пути их достижения?
www.linuxfoundation.org/blog/2016/08/the-top-10-developers-and-companies-contributing-to-the-linux-kernel-in-2015-2016
В РФ работы с вязанные с безопасностью ПО подпадают под закон о лицензируемых видах деятельности, соответственно есть конторы в штате которых есть специалисты которые проводят экспертизу на соответствие требованиям регуляторов (ФСТЭК, ФСБ, МО). Специалистам как правило не выгодно свою подпись ставить под откровенной ерундой, и требования регуляторов по большей части выполняются. Работают там такие же обычные инженеры как и везде, не надо думать что если это для госухи дистр то какие-то упыри в подвалах печатают липовые сертификаты чтобы отмыть деньги. Все достаточно открыто для человека который интересуется, все стандарты есть на сайте ФСТЭК
Конечно вам нужно обеспечить безопасность закрытого ключа, кроме того в целевой системе должен администратором быть размещен открытый ключ. Только тогда ПО запустится…
В целом, как я считаю, основное препятствие для внедрения длинных паролей — отсутствие работающих процедур блокировки, смены паролей. Убедить бизнес чисто математическими расчетами думаю нельзя, но если вы 2-3 раза безболезненно сможете провести глобальную смену паролей во всей организации без последствий — с этим уже можно будет идти к бизнесу