BIS-комментарии к статье «Бег на месте или так надо?»

BIS Journal №3(46)/2022

17 августа, 2022

BIS-комментарии к статье «Бег на месте или так надо?»

Минпромторг поддержал…

BIS Journal попросил прокомментировать текущую ситуацию с отечественными репозиториями заместителя главы Минпромторга России Василия Шпака, одного из активных инициаторов их создания. После многочисленных звонков и почти двухмесячной переписки с сотрудниками пресс-службы Минпромторга был получен куцый официальный ответ. По сути это классическая ведомственная отписка – обтекаемая и малоинформативная. И это печально, вроде ведь одно большое дело делаем. Но, как говорится, спасибо и на этом. К следующему номеру постараемся найти более полную информацию.

Минпромторг поддержал идею создания доверенных ПАК, высказанную предприятиями отрасли.

Необходимость создания отечественного репозитория программных пакетов и библиотек (ПАК) обусловлена невозможностью влияния на политику использования зарубежных репозиториев. Минпромторг согласен, что наиболее серьезными рисками при производстве программного обеспечения, созданного на базе зарубежных репозиториев, становятся: встраивание недекларируемых возможностей, отсутствие контроля над жизненным циклом программного продукта и влияния на техническую политику разработки программного обеспечения, отсутствие механизмов, обеспечивающих совместимость с отечественными продуктами.

На текущий момент разработана и проходит согласование Стратегия создания российского репозитория программных пакетов и библиотек, находящегося в юрисдикции и на территории Российской Федерации. Идея создания такой стратегии принадлежит предприятиям отрасли.

Основными целями создания российского репозитория являются:

  • обеспечение условий устойчивого развития отечественной отрасли информационных и телекоммуникационных технологий;
  • обеспечение необходимого уровня конкурентоспособности отечественных компаний на международном рынке;
  • содействие созданию инфраструктуры разработки отечественного программного обеспечения, реализуемого на отечественных аппаратных платформах;
  • обеспечение целостности, безопасности и устойчивости функционирования объектов критической информационной инфраструктуры Российской Федерации, включая объекты военного и государственного управления.

Пресс-служба Минпромторга

 

 

Код под контролем

Аккумулирование разработок программного обеспечения на отечественных площадках с использованием российских репозиториев позволяет существенно увеличить технологическую независимость и усилить её в будущем.

В этой связи, развитие инфраструктуры российских репозиториев и её активное использование сообществом разработчиков, безусловно, имеет важное значение для развития всей отрасли информационных технологий в нашей стране.

При этом, опыт крупнейших репозиториев уже показал, что в современных условиях, когда объем исходного кода и вносимых в него изменений растет лавинообразно, а переиспользование кода без его детального изучения становится повсеместным, резко возрастает необходимость в средствах анализа и контроля состояния исходного кода.

Поэтому в ГК «Астра» при разработке ОС Astra Linux Special Edition создан так называемый «Стенд доверия», на котором проводятся непрерывные исследования средствами статического и динамического анализа хранящегося в репозитории исходного кода этой ОС, в особенности кода ее механизмов защиты. При этом результаты такого анализа помещаются в «Базу данных доверия» для дальнейшей аналитической обработки специалистами и оперативного устранения выявленных ошибок.

Подобный подход позволяет взять под контроль качество исходного кода, видеть полную картину его состояния и в целом внести вклад в безопасную разработку и обеспечение доверия к ОС Astra Linux Special Edition, а также развиваемому для неё российскому репозиторию пакетов.

Роман Мылицын, начальник отдела перспективных исследований и специальных проектов ГК «Астра»

 

Вопрос гораздо шире!

Поставленный вопрос актуален, тесно связан с общей задачей создания некой индустрии, производящей  качественное отечественное ПО, и к сожалению, весьма запутан.  В результате на практике, на фоне отдельных успехов фирм и организаций, занимающихся разработкой ПО, мы фактически не наблюдаем явного, заметного роста этой индустрии. Это происходит на фоне болезненных санкционных ограничений, сделавших недоступными или токсичными значительное количество зарубежного софта, порой крайне нужного.  Ситуация развивается дальше, и уже Президент своим указом практически запрещает использовать, начиная с 2025 года средства защиты информации (надо понимать — как аппаратные, так и программные средства), странами происхождения которых являются иностранные государства, совершающие в отношении Российской Федерации, российских юридических лиц и физических лиц недружественные действия, либо производителями которых являются организации, находящиеся под юрисдикцией таких иностранных государств, прямо или косвенно подконтрольные им либо аффилированные с ними. Надо полагать, что под эту категорию подпадет некоторое системное или прикладное ПО, например, операционные системы, практически все имеющие встроенные средства защиты. Так в чем же дело? Только в отсутствии системы репозиториев?

Думаю, что вопрос гораздо шире.

В стране не создана система разработки, тестирования, хранения, распространения и поддержки качественного (надежного и безопасного) отечественного ПО, которая представляла бы собой, как сейчас говорят, «экосистему», работа в которой была бы привлекательна для всех участников процесса:

  • Разработчиков средств разработки,
  • Разработчиков ПО;
  • Тестировщиков (функциональное тестирование и тестирование по требованиям безопасности);
  • Репозиториев различного уровня;
  • Национальных реестров ПО;
  • Пользователей.

Определенная база документов технического регулирования для начала решения этой системной задачи есть. Создание самой системы заключается в разработке обязывающих правил работы и регламентов взаимодействия участников этого процесса, приложении организационных усилий, правильного и целевого финансирования. А эта задача абсолютно стандартная и понятная. 

Таким образом, вопрос решаем, однако он требует, по нашему мнению, подготовки, в первую очередь, постановления Правительства РФ, регламентирующего отношения и взаимодействие всех участников, так как только на этом уровне возможно объединить усилия ряда различных организаций и ведомств и реально запустить процесс создания качественного отечественного ПО.

Андрей Курило, советник вице-президента по вопросам IT безопасности ФБК, кандидат технических наук

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

03.10.2022
Сеть DNS допустила утечку личных данных клиентов
03.10.2022
В текущих условиях столь массовые утечки ПДн — реальная угроза национальной безопасности
01.10.2022
Банк России финализирует стратегию обеспечения ИБ на 2022–2024 годы
01.10.2022
Российские хакеры атакуют российские компании
30.09.2022
Минцифры — о дополнительных мерах в отношении мобилизованных айтишников
30.09.2022
Apple релоцировала большую часть российских сотрудников в Киргизию
30.09.2022
Список софта для обязательного размещения в RuStore расширен
30.09.2022
Эльвира Набиуллина попала под британские и американские санкции
30.09.2022
Минобрнауки рассказало о рассылке от «Минобороны»
29.09.2022
Штрафы за утечку ПДн могут пойти не в бюджет, а на компенсацию пострадавшим от утечек

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных