В России создадут систему для безопасной разработки ПО

Как пишет "Коммерсантъ"  со ссылкой на техническую документацию проекта, ведомство хочет получить набор программных решений, в котором российские софтверные разработчики смогут писать исходно доверенные с точки зрения информационной безопасности решения для субъектов критической информационной инфраструктуры (КИИ, к ним относятся, например, банки, объекты энергетики, оборонные ведомства и др.).

В ФСТЭК на запрос “Ъ” не ответили.

В Минцифры пояснили “Ъ”, что сегодня в России отсутствует такая среда разработки: «Если она и есть, то создана сугубо под себя отдельными компаниями и не доступна всем». Таким образом, создание именно унифицированной среды позволит использовать ее широкому кругу заинтересованных разработчиков, добавили в министерстве.

Сейчас софтверные компании подтверждают надежность своих продуктов, проходя длительную экспертизу ФСТЭК. Процедура призвана снизить риски наличия в софте так называемых бэкдоров (дефект алгоритма, который позволяет получить несанкционированный доступ к данным или удаленному управлению системой). «Внедрение принципов безопасной разработки призвано снизить количество уязвимостей в исходном коде, что повлияет на общий уровень безопасности программных продуктов и информационных систем»,— говорят в Минцифры.

Данные об уязвимостях как зарубежного, так и отечественного софта всплывают регулярно. Так, в январе стало известно о вредоносном коде в модулях 1С, который встраивался в софт во время доработки модулей у программистов на аутсорсинге. Тогда же появилась информация об уязвимости открытой операционной системы (ОС) Linux, которая лежит в основе российских ОС, установленных в банках, на промышленных объектах и в госсекторе. В начале 2021 года ФСТЭК планировала создать специальный исследовательский центр для проверки безопасности ОС на базе ядра Linux, но информации, что он заработал, нет.

По мнению собеседника “Ъ” на софтверном рынке, унифицированная среда разработки безопасного ПО необходима, чтобы ФСТЭК могла фактически в реальном времени контролировать процесс его создания: «Впоследствии российские компании могут обязать разрабатывать софт для субъектов КИИ исключительно в этой системе, чтобы снизить риски информационной безопасности».

Сейчас российской унифицированной среды разработки действительно не существует, отмечают эксперты. Разработчики используют различные среды, что потенциально несет множество рисков, связанных, например, с воровством кода, «закладками» и даже элементарным отключением или ограничением доступа к такой среде, например, по политическим причинам, поясняет директор R&D-центра IVA Technologies Виктор Петров.

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!