Для хранения доверенного софта создадут специальные хранилища

Для хранения отечественного софта к 2027 г. может быть создана система защищенных репозиториев. Первоначально в нее будет включено около 30% доверенных отечественных решений, а к 2030 г. этот показатель достигнет 80%. Об этом говорится в рабочем документе АНО «Цифровая экономика», составленном по итогам конференции «Э+Данные», которая прошла 11 сентября.

Доверенное программное обеспечение (ДПО) – это софт, который разрабатывается в соответствии с концепцией жизненного цикла безопасной разработки, пояснил «Ведомостям» директор по стратегии и развитию технологий Axiom JDK Роман Карпов. Критерии «доверенности» ПО и программно-аппаратных комплексов (ПАК) определяют ФСТЭК и ФСБ. «В широком смысле доверенным можно назвать ПО, которое прошло проверки по безопасности и иной технический аудит в аккредитованных для этих целей организациях, не содержит «закладки», т. е. его работе заказчик может доверять», – добавил директор департамента разработки ПО компании «Рексофт» Николай Сокорнов.

Как следует из презентации АНО «Цифровая экономика», с предложением о сети репозиториев выступила подгруппа, возглавляемая вице-президентом «Ростелекома» Борисом Глазковым. Представитель телекомоператора отказался от комментариев.

Проект предполагает создание «типовых решений распределенной системы защищенных репозиториев ДПО, предназначенных для разработки, тестирования, хранения, распространения, развития и технической поддержки отечественного ПО». Кроме того, инициатива АНО предусматривает создание системы испытательных полигонов для проверок ПАКов, в том числе доверенных.

Предполагается, что репозитории обеспечат совместимость отечественного ПО, позволят продлить его жизненный цикл и сократить трудозатраты на создание софта. Согласно документу, ответственным за реализацию проекта будет Минцифры, а сам проект будет осуществляться, в частности, за счет бюджетного финансирования и грантовой поддержки.

«Ведомости» запросили комментарии АНО «Цифровая экономика». Представитель аппарата вице-премьера Дмитрия Чернышенко (курирует IT) сообщил «Ведомостям», что там «пока не получали подобных предложений». В Минцифры на запрос не ответили.

Репозитории ДПО позволяют компаниям и организациям иметь доступ к верифицированному и безопасному софту, минимизируя риски, связанные с угрозами информационной безопасности, поясняет директор по продукту Crosstech Solutions Group Руслан Субхангулов. Чтобы репозиторий действительно выполнял свои функции, потребуется разработать не только систему хранения кода и дистрибутивов по аналогии с GitHub, но и порядок его сертификации, т. е. требования, регламентирующие, какой софт доверенный, а какой нет, отмечает руководитель стрима «Инженерные инструменты» платформы «Сфера» (разработчик ПО «Нота») Роберт Аксенов. Система может включать в себя защищенные репозитории, доступные только авторизованным пользователям, механизмы контроля доступа и проверки целостности, отсутствия повреждений или изменений кода, а также автоматические обновления, добавил руководитель портфеля DevOps-продуктов платформы «Сфера» Евгений Калашников.

Пока что в России нет ресурса, который бы верифицировал доверенность софта и хранил доверенные версии, продолжает Аксенов. «Есть реестр отечественного ПО, однако он подтверждает только происхождение софта и соответствие формальным требованием, а его дистрибутивы и код обычно хранятся в других источниках», – уточняет он. Всего сейчас в реестр отечественного ПО Минцифры включено более 18 000 наименований софта от 6700 правообладателей.

Есть отдельные защищенные репозитории, замечает генеральный директор IW Group Александр Шибаев. «Репозиторий – это обычный центр обработки данных (ЦОД), которых в нашей стране уже полно. Если надо выстроить что-то новое, так это простая, понятная и короткая задача. Годами она не исчисляется», – говорит эксперт.

Добиться включения в репозиторий 30% отечественного софта к 2027 г. возможно, считает Калашников: «Все зависит от способа продвижения и регулирования». По словам Аксенова, при наличии господдержки профильных ведомств достичь данного показателя в сжатые сроки реально. Но это, по его словам, будет зависеть от подрядчика, на базе инструментов которого можно было бы это сделать, и стимуляции процессов публикации ПО в репозитории. «Например, можно сделать публикацию в репозитории обязательным шагом перед внесением решения в реестр отечественного ПО и сертификацией ФСТЭК», – говорит эксперт.

Потребуется проведение информационных и образовательных кампаний по повышению осведомленности о значении и преимуществах системы защищенных репозиториев ДПО, добавляет Субхангулов.

Калашников предположил, что на создание защищенного репозитория понадобится около 1 млрд руб., но финальная стоимость будет зависеть от функционала и масштаба системы. По оценкам Аксенова, стоимость системы с учетом затрат на инфраструктуру, разработку, ПО для обеспечения безопасности, эксплуатацию и сопровождение до 2027 г. может достигать 3 млрд руб.