Юбилейный ТБ Форум: РБПО требует вдумчивых решений с открытым разумом

Юбилейный ТБ Форум: РБПО требует вдумчивых решений с открытым разумом

В МВЦ «Крокус Экспо» завершился 30-й юбилейный ТБ Форум «Технологии и безопасность 2025» под эгидой ФСТЭК России, ИСП РАН и НТЦ «Фобос-НТ».

Большой интерес участников вызвала прошедшая в рамках форума конференция «Эксперты и экспертиза РБПО. Вызовы нашего времени». В роли ведущих выступили заместитель генерального директора — директор департамента внедрения и развития РБПО в НТЦ «Фобос-НТ» Дмитрий Пономарёв и генеральный директор компании «Гротек» Андрей Мирошкин.

Разработка безопасного программного обеспечения (РБПО) приобретает в глазах руководителей предприятий и организаций всё большее значение в свете усиливающегося натиска злоумышленников на рубежи информационной безопасности. РБПО уменьшает количество уязвимостей, делает софт более надёжным и снижает вероятность реализации угроз. Соответственно, растут требования к качеству решений и контроль со стороны регулирующих органов.

Как отмечает Дмитрий Пономарёв, одной из проблем организации и контроля процессов РБПО является «разнобой» в используемых инструментах анализа, в том числе между разработчиками средств защиты информации (СЗИ) и испытательными лабораториями. Много копий сломано и в дискуссиях по проблематике выбора инструментов статического анализа исходного кода. В ответ на эти и другие вызовы в 2024 году ФСТЭК России вырабатывала соответствующую нормативно-правовую базу. Это относится к исследованию критичных компонентов с открытым исходным кодом при испытаниях, компонентам СЗИ, упакованным в контейнеры различных форматов, программе аттестации экспертов испытательных лабораторий, принятию ГОСТа по статическому анализу программного обеспечения и т. д.

Сообщество РБПО центра компетенций ФСТЭК и ИСП РАН ставит перед собой цели популяризировать системный, фундаментально-инженерный подход к организации безопасной и качественной подготовки кадров, поддерживать отечественные технологии и школы, формировать «грибницы» доверенных и верифицированных горизонтальных связей без ухода в пустую маркетологию.

В ходе конференции руководители и эксперты компаний, задействованных в отрасли, имели возможность поделиться своим опытом и высказать свои пожелания. Руководитель отдела ИБ компании Postgres Professional Валерий Попов рассказал об осмыслении новых подходов к безопасной разработке в связи с 131 Приказом ФСТЭК о Требованиях доверия. Преодолевать инерцию помогала поддержка руководства компании, испытательная лаборатория и понимание, что РБПО способна улучшить качество их продуктов. На этом пути были перепробованы различные способы организации статического анализа, фаззинга, композиционного анализа, других процессов по методике ВУ и НДВ, сертификационных испытаний. Как результат, на сегодняшний день автоматизация испытаний позволяет компании ежеквартально выпускать по десять мажорных релизов сертифицированных версий СУБД и ещё больше обычных версий.

Внедрение процессов РБПО в рамках национального стандарта ГОСТ Р 56939-2024 о защите информации требует комплексного подхода, охватывающего все этапы жизненного цикла ПО, — заметил директор по технологическому консалтингу Axiom JDK Алексей Захаров. Для этого необходимо глубокое знание спецификаций, кодовой базы и архитектуры продуктов. В ходе реализации РБПО при разработке защищенной Java-платформы в Axiom JDK были выстроены механизмы многоуровневого тестирования, включая статический, динамический и регрессионный анализ, а также фаззинг. Захаров привёл впечатляющую статистику: у компании шесть LTS-релизов, составляющих 94 млн строк, на исследование программного продукта JDK ушло всего более 100 инженеро-лет, а на прогон всей кодовой базы необходимо 365 дней в год.

О процессах разработки, анализа и испытаний в РБПО, связанных с этим проблемах можно говорить без конца. Хотелось бы уделить внимание светлой стороне вопроса и тем выводам, к которым в итоге всех исканий пришли лучшие эксперты, представленные на конференции. Так, ведущий инженер DevSecOps компании «Базис» Натали Дуботолкова упомянула о возросшей эффективности при тех же инженерных ресурсах, снижении нагрузки на команды и большей прогнозируемости результатов. Как отметил начальник отдела безопасности разработки ПО компании «Базальт СПО» Николай Костригин, они осуществили 1 млн 300 тысяч поставок лицензий и обучили более 11 тысяч специалистов. По словам технического директора компании «Айдеко» Марка Коренберга, внедрение SDL (свободных кроссплатформенных мультимедийных библиотек), которое является сложным и трудоёмким процессом, позволяет им последовательно реализовывать идеи и превращать их в продукты. В конечном итоге, SDL становится основой для формирования будущего компании, обеспечивая стабильный рост и развитие в динамичной бизнес-среде.

Генеральный директор компании CodeScoring Алексей Смирнов со своей стороны выступил с предостережением: РБПО — служба крутая, но не всесильная; важно распространять практику в команды разработки. Погнавшись за технологической крутостью, можно упустить главное — всеобщую грамотность в процессах. Эксперт показал слайд с девизом «Close your eyes, open your mind» (закрой свои глаза и открой свой разум), призвав коллег к вдумчивому подходу в работе по развитию РБПО в сочетании с грамотной постановкой задач перед членами коллективов.