Для хранения российского программного обеспечения к 2027 году планируется создать систему защищенных репозиториев. Сначала в нее будут включены примерно 30% доверенных отечественных решений, а к 2030 году этот показатель должен достичь 80%. Эту информацию опубликовало издание «Ведомости» со ссылкой на документ АНО «Цифровая экономика».
Доверенное программное обеспечение (ДПО) — это программы, разрабатываемые в соответствии с концепцией безопасной разработки и проходящие проверки на безопасность и техническую аудиторию утвержденными организациями. Критерии для определения «доверенности» ПО и программно-аппаратных комплексов (ПАК) устанавливаются ФСТЭК и ФСБ. «Доверенным» ПО можно считать те, которое прошло проверки на безопасность и технические аудиты от аккредитованных организаций и не содержит скрытых угроз. Об этом сообщил Николай Сокорнов, директор департамента разработки ПО компании «Рексофт».
Подгруппа, возглавляемая вице-президентом «Ростелекома» Борисом Глазковым, предложила создать систему репозиториев.
Проект предусматривает создание «стандартных решений для распределенной системы защищенных репозиториев ДПО, предназначенных для разработки, тестирования, хранения, распространения, развития и технической поддержки российского программного обеспечения». Этот проект позволит сделать российское ПО более совместимым, продлить его срок службы и снизить расходы на разработку программных продуктов.
Согласно документу, Минцифры будет отвечать за реализацию проекта, который будет финансироваться из бюджетных средств и грантовой поддержки.
Создание репозитория ДПО позволит компаниям и организациям иметь доступ к проверенному и безопасному программному обеспечению, что поможет уменьшить риски, связанные с информационной безопасностью, пояснил Руслан Субхангулов, директор по продукту Crosstech Solutions Group.
Для того чтобы репозиторий мог эффективно функционировать, необходимо разработать не только систему хранения кода и дистрибутивов, аналогичную GitHub, но и процедуры сертификации — устанавливать требования к доверенному программному обеспечению. Система может включать в себя защищенные репозитории, к которым доступ будет иметь только авторизованные пользователи, механизмы контроля доступа и проверки целостности кода, а также автоматические обновления, добавил Евгений Калашников, руководитель портфеля DevOps-продуктов платформы «Сфера». На данный момент в России нет ресурса, который бы осуществлял верификацию программного обеспечения и хранил доверенные версии, продолжает Роберт Аксенов.
Создание безопасного репозитория, по мнению Евгения Калашникова, потребует примерно 1 миллиард рублей, но финальная стоимость будет зависеть от масштаба и функционала системы. По оценкам Роберта Аксенова, общие затраты на инфраструктуру, разработку, обеспечение безопасности, эксплуатацию и сопровождение проекта до 2027 года могут достигнуть 3 миллиардов рублей.
