Вопрос по легитимности добавления сторонних репозиториев

Astronaut

New member
Сообщения
2
#1
Добрый день

Сторонний "разработчик ПО" утверждает что его программа работает под Astra Linux 1.6 SE,
при этом в инструкции по установке его программы обязательно подключение репозитория ОРЁЛ, установка зависимостей.
На наше утверждение что так нельзя, "разработчик ПО" говорит, что "мы не нашли на официальном сайте разработчика ОС подтверждение данной информации".

Разрешено так делать или нет? Или пользователям системы это самим решать? Или это решать лицензиату-установщику?
 

Montfer

New member
Сообщения
914
#2
Решают ваши органы безопасности информации и их приказы.
 

oko

New member
Сообщения
547
#3
to Astronaut
Организация-разработчик, заявляя о работоспособности, должна была, primo, согласовать свой софт с РусБиТехом (получить подтверждение совместимости) и, secundo, подписать оный софт ключом ЭЦП, выданным РусБиТехом. В противном случае, их заявление о работоспособности звучит как "наш софт запускается и функционирует под Debian 9", не более...
Вопрос подключения сторонних репозиториев для установки зависимостей - +1 к тов. Montfer - решается, исходя из требований безопасности, предъявляемых к вашей АС. Причем организация-лицензиат по безопасности, если она в этой связке присутствует, должна вам пояснить этот момент. В ином случае, вы сами должны проанализировать предъявляемые требования и разрешить/запретить подобную установку, приняв на себя все риски (риски функциональности, риски безопасности непосредственно и риски нарушения требований регуляторов)...

ЗЫ Организация-лицензиат по умолчанию (если договором не предусмотрено обратное) ничего не устанавливает - у нее другие функции и задачи, ага...
 

cogniter

Moderator
Team Astra Linux
Сообщения
508
#5
to Astronaut
Организация-разработчик, заявляя о работоспособности, должна была, primo, согласовать свой софт с РусБиТехом (получить подтверждение совместимости) и, secundo, подписать оный софт ключом ЭЦП, выданным РусБиТехом. В противном случае, их заявление о работоспособности звучит как "наш софт запускается и функционирует под Debian 9", не более...
Вопрос подключения сторонних репозиториев для установки зависимостей - +1 к тов. Montfer - решается, исходя из требований безопасности, предъявляемых к вашей АС. Причем организация-лицензиат по безопасности, если она в этой связке присутствует, должна вам пояснить этот момент. В ином случае, вы сами должны проанализировать предъявляемые требования и разрешить/запретить подобную установку, приняв на себя все риски (риски функциональности, риски безопасности непосредственно и риски нарушения требований регуляторов)...

ЗЫ Организация-лицензиат по умолчанию (если договором не предусмотрено обратное) ничего не устанавливает - у нее другие функции и задачи, ага...
легитимность установки вами стороннего софта никак не определяется операционной системой, а зависит от требований к вам со стороны регулятора и класса защиты вашей информационной системы
 

Astronaut

New member
Сообщения
2
#6
Где бы взять список файлов компонентов системы, обеспечивающих работу комплекса средств защиты, для подтверждения неизменностью контрольных сумм...