Федеральная служба по техническому и экспортному контролю (ФСТЭК) объявила тендер на «создание унифицированной среды разработки безопасного отечественного программного обеспечения». Ведомство хочет получить защищенную среду, в которой российские разработчики смогут писать доверенные решения для субъектов критической информационной инфраструктуры (КИИ) — банков, объектов энергетики, оборонных структур. Работы стоимостью 0,5 млрд рублей необходимо выполнить до декабря 2024 года.
Проблема узязвимостей в иностранном программном обеспечении (ПО) не нова. Сейчас если софт разрабатывала иностранная компания, то она в любой момент может его «подправить». В минцифры разделяют эти опасения, поэтому и сделан упор на собственные разработки: «Внедрение принципов безопасной разработки обоснованно, оно призвано снизить количество уязвимостей в исходном коде».
С 2018 года регулятор в лице ФСТЭК стал уделять пристальное внимание не только продуктам, но и сложившейся у вендоров системе разработки и тестирования программного обеспечения, отмечает заместитель генерального директора ГК Astra Linux Юрий Соснин. По его словам, создание универсальной среды объясняется необходимостью предоставления любому разработчику возможности получить машино-часы на тестирование и другие операции, связанные с созданием продуктов. И избавить его от того, чтобы на старте вкладывать время и деньги в формирование инфраструктуры.
Универсальная среда снизит и расходы на инфраструктуру
Еще одной проблемой является то, что существующие практики безопасной разработки ПО относятся только к средствам защиты информации и прикладному ПО со встроенными механизмами безопасности, говорит директор по безопасности «МойОфис» Александр Буравцов.
В январе стало известно о вредоносном коде в модулях 1С, который встраивался в софт во время доработки модулей. Ранее появлялись публикации в СМИ об уязвимости ОС Linux, активно используемой в банках и в госсекторе.
Источник: Российская газета