Что вы думаете о:
Федеральная служба по техническому и экспортному контролю (ФСТЭК России) выдала сертификат соответствия операционной системе RedHat Enterprise Linux 4, функционирующей на серверной платформе IBM Systems.

Насколько отношения с сертификаторами/нормировщиками/регулировщиками вообще влияют на жизнь:
а) разработчиков
б) людей, которым на этих линуксах работать?

Просто интересна ваша точка зрения, подобное техническое регулирование - это средство откорма бюрократии или все-таки полезная штука?

(Reply to this) (Thread)

Imho, это теперь позволяет поставлять линукс туда, где по требованиям нужна сертифицированная ОС. В какие-нибудь госструктуры, типа госбанка.

(Reply to this) (Parent) (Thread)

Это да. Только, по-моему нету таких особенных требований: до сих пор везде стоит по большей несертифицированный виндовс.
Да дело не в этом, а в том, есть ли зависимость между сертификацией и реальной безопасностью или нет. Вот о чем я, в сущности, спрашиваю.

(Reply to this) (Parent) (Thread)

Если даже и нет связи между сертифицированностью и безопасностью, то я не вижу, чем сертификация может как-то помешать разработчикам. От них-то никто ничего не требует. Т.е., как мне кажется, сертификация вообще про другое.
Теоретически, если сертификаторы разумно пороются в коде и найдут лишнюю дыру, то это только на пользу. Можно вообразить, что сертификаторы захотят внести в код какие-нибудь глупости -- да пожалуйста, пусть желающие делают свою версию с нужными глупостями, власти-то у сертификаторов никакой.

(Reply to this) (Parent) (Thread)

я не вижу, чем сертификация может как-то помешать разработчикам


Может может, еще как может. Разработчикам приходится тратить время и силы на общение с сертификаторами и дачу им объяснений почему не так, а так, и что будет если. В письменной форме.

Частично, это полезно. Сертификаторы - это такие особенные люди, они на неочевидных засадах собаку съели. Частично - полная паранойя, иногда даже security theater.

(Reply to this) (Parent)

"Несертифицированный виндовс" стоит ровно по той причине, что была отмазка "а у вас больше ничего сертифицированного нет". Теперь есть, отмазываться будет сложнее.

Зависимость между реальной безопасностью и сертификацией есть только в том случае, если последняя проводится не спустя рукава. В нормальной ситуации исходный код анализируется на предмет соответствия требованиям, в роли которых сейчас выступает ISO 15408 (a.k.a Common Criteria), а они достаточно внятны, если их прочитать.

(Reply to this) (Parent)

http://abbra.livejournal.com/66620.html

Как бы мы не рассматривали сертификацию, она была, есть и будет. Для каких целей и какие группы чиновников/компаний ее будут использовать -- вопрос открытый. В случае этого сертификата, работа была не просто бумажная, разработчиков напрягли по полной и, между прочим, к лучшему -- в RH теперь значительно прозрачнее процесс обеспечения целостности сборочной среды.

(Reply to this) (Parent)

Уй, Фёдор, ну Вы прям как суд в последней инстанции.

Это не афера, а объезд последствий аферы. Неужто обязательно валить с больной головы на хитрую?

(Reply to this) (Thread)

Это именно что афера. Попытка по быстрому срубить бабок на страхах публики. Не удивлюсь если и сами драйвера там махрово контрафактные.

HINT: Даже если завтра Европарламент соберется и единогласно проголосует за легализацию софтверных патентов в особо извращенной форме, а все национальные суды возьмут под козырек (чего не наблюдается) - то все равно перед желающими брать оброк с пользователей mp3-плейеров, останется еще как минимум три не менее высоких юридических барьера.

(Reply to this) (Parent)