По информации издания «Коммерсантъ», Федеральная служба по техническому и экспортному контролю (ФСТЭК) на портале госзакупок опубликовала два тендера — на создание унифицированной среды для безопасной разработки отечественного ПО за 510 млн рублей и создание инфраструктуры для систематического исследования безопасности критичных компонентов, составляющих основу российских дистрибутивов ОС и других программ за 360 млн рублей.
Данные проекты после их создания и внедрения в конце 2024 года должны будут использоваться российскими разработчиками при создании ПО для объектов критической информационной инфраструктуры (госструктуры, финансовый сектор, энергетика и нефтегазовый сектор, транспорт).
Эксперты издания пояснили, что сейчас нет единой отечественной доверенной среды для разработки ПО. Именно ее хочет создать ФСТЭК, чтобы проверять изначально действия разработчиков и блокировать любые попытки случайно или намеренно оставить в программах закладки (бэкдоры) или уязвимости. Это повысит уровень безопасности отечественного ПО, но ограничит возможности сторонних разработчиков, которые ранее создавали и проверили самостоятельно свои продукты через собственные системы отладки, тестирования и проверки.
В Минцифры пояснили издания, что в России доверенные среды разработки есть у нескольких компаний, которые не предоставляют к ним доступ другим разработчикам. По мнению ведомства, создание унифицированной среды для безопасной разработки позволит использовать ее всем сторонним разработчикам без ограничений.
Минцифры уточнило, что использование такой доверенной среды снизит количество уязвимостей в исходном коде, что повлияет на общий уровень безопасности отечественных программных продуктов и информационных систем. Также разработчикам будет проще при использовании этой среды получить положительное заключение при экспертизе во ФСТЭК своих новых программ.
Эксперты рынка пояснили изданию, что это будет не полноценная доверенная среда для разработки ПО, а ее пилотная версия. По их мнению, для доработки и создания полноценной инфраструктуры нужно потратить на порядок больше денег и ресурсов нескольких исполнителей, которым понадобиться больше времени на разработку.
Согласно ТЗ проекта на доверенную среду, исполнитель до декабря 2024 года должен создать унифицированную среду разработки безопасного отечественного ПО, позволяющую обеспечить решение следующих задач:
Согласно ТЗ проекта на инфраструктуру проверки отечественных дистрибутивов ОС, исполнитель должен создать технические, методологические и организационные элементы инфраструктура для исследования ПО, позволяющие обеспечить решение следующих задач:
В начале февраля СМИ сообщили, что Минцифры в мае этого году начнет эксперимент по созданию российского аналога Github. Там будут представлены программные продукты под открытой лицензией, созданные на бюджетные средства, например, исходные коды и программы, которые были созданы для Минцифры, МВД, Росреестра, Пенсионного фонда и других госорганов. Российские разработчики и компании смогут на добровольной основе публиковать там свои программы Доступ к национальному репозиторию будут иметь все физические и юридические лица «без ограничений по национальному, территориальному и иным признакам».
Данные проекты после их создания и внедрения в конце 2024 года должны будут использоваться российскими разработчиками при создании ПО для объектов критической информационной инфраструктуры (госструктуры, финансовый сектор, энергетика и нефтегазовый сектор, транспорт).
Эксперты издания пояснили, что сейчас нет единой отечественной доверенной среды для разработки ПО. Именно ее хочет создать ФСТЭК, чтобы проверять изначально действия разработчиков и блокировать любые попытки случайно или намеренно оставить в программах закладки (бэкдоры) или уязвимости. Это повысит уровень безопасности отечественного ПО, но ограничит возможности сторонних разработчиков, которые ранее создавали и проверили самостоятельно свои продукты через собственные системы отладки, тестирования и проверки.
В Минцифры пояснили издания, что в России доверенные среды разработки есть у нескольких компаний, которые не предоставляют к ним доступ другим разработчикам. По мнению ведомства, создание унифицированной среды для безопасной разработки позволит использовать ее всем сторонним разработчикам без ограничений.
Минцифры уточнило, что использование такой доверенной среды снизит количество уязвимостей в исходном коде, что повлияет на общий уровень безопасности отечественных программных продуктов и информационных систем. Также разработчикам будет проще при использовании этой среды получить положительное заключение при экспертизе во ФСТЭК своих новых программ.
Эксперты рынка пояснили изданию, что это будет не полноценная доверенная среда для разработки ПО, а ее пилотная версия. По их мнению, для доработки и создания полноценной инфраструктуры нужно потратить на порядок больше денег и ресурсов нескольких исполнителей, которым понадобиться больше времени на разработку.
Согласно ТЗ проекта на доверенную среду, исполнитель до декабря 2024 года должен создать унифицированную среду разработки безопасного отечественного ПО, позволяющую обеспечить решение следующих задач:
- внедрение интегрированных технологий разработки безопасного ПО в отечественных организациях-разработчиках ПО;
- предоставление отечественным разработчикам унифицированного набора инструментов для разработки безопасного ПО, включающего в себя инструменты интегрированной разработки, инструменты непрерывной интеграции и выпуска, безопасные компиляторы, инструменты кросс-платформенной разработки, инструменты разработки и выполнения модульных тестов, инструменты статического анализа, инструменты фаззинг-тестирования, включая инструменты определения поверхности атаки, инструменты выявления утечек информации по памяти на основе полносистемного динамического анализа помеченных данных;
- обеспечение методологической и технической поддержки российских организаций при внедрении и обеспечении жизненного цикла безопасного ПО;
- набор инструментов для обеспечения разработки безопасного ПО должен поддерживать языки С, С++, Java;
- набор инструментов для обеспечения разработки безопасного ПО должен поддерживать разработку программ для базовой архитектуры настольных компьютеров и серверов x86-64 и базовой архитектуры мобильных устройств ARMv8, а также перспективные процессорные архитектуры, обеспечивающие технологическую независимость: RISC-V, Байкал, Эльбрус.
Согласно ТЗ проекта на инфраструктуру проверки отечественных дистрибутивов ОС, исполнитель должен создать технические, методологические и организационные элементы инфраструктура для исследования ПО, позволяющие обеспечить решение следующих задач:
- тестирование критичных компонентов с открытым исходным кодом, используемых для российских дистрибутивов операционных систем и иных программных средств, включающее проведение архитектурного анализа, статического анализа исходного кода, фаззинг-тестирования, системного и модульного тестирования и полносистемного динамического анализа помеченных данных;
- разработку исправлений, устраняющих уязвимости в критичных компонентах, используемых при разработке российских дистрибутивов операционных систем и иных программных средств, и доведения указанных исправлений до разработчиков программных средств;
- формирование отечественных репозиториев критичных компонентов с собственными ветками для этих компонентов, включающих разработанные исправления, и обеспечения поддержки безопасности этих веток при постоянной синхронизации с основными международными версиями этих компонентов;
- формирование компетенции специалистов по вопросам исследований безопасности критичных компонентов, используемых как основа для российских дистрибутивов операционных систем и иных программных средств;
- выработку рекомендаций по реализации мер безопасной разработки отечественных программных средств, использующих критичные компоненты с открытым исходным кодом;
- организацию взаимодействия разработчиков отечественных программных средств по вопросам обеспечения безопасной разработки с использованием собственных безопасных веток критичных компонентов с открытым исходным кодом;
- наполнение банка данных угроз безопасности информации ФСТЭК России сведениями об уязвимостях критичных компонентов, используемых для российских дистрибутивов операционных систем и иных программных средств.
В начале февраля СМИ сообщили, что Минцифры в мае этого году начнет эксперимент по созданию российского аналога Github. Там будут представлены программные продукты под открытой лицензией, созданные на бюджетные средства, например, исходные коды и программы, которые были созданы для Минцифры, МВД, Росреестра, Пенсионного фонда и других госорганов. Российские разработчики и компании смогут на добровольной основе публиковать там свои программы Доступ к национальному репозиторию будут иметь все физические и юридические лица «без ограничений по национальному, территориальному и иным признакам».
