Для хранения российского программного обеспечения к 2027 году планируется создать систему защищенных репозиториев. Сначала в нее будут включены примерно 30% доверенных отечественных решений, а к 2030 году этот показатель должен достичь 80%. Эту информацию опубликовало издание “Ведомости” со ссылкой на документ АНО “Цифровая экономика”.
Доверенное программное обеспечение (ДПО) – это программы, разрабатываемые в соответствии с концепцией безопасной разработки и проходящие проверки на безопасность и техническую аудиторию утвержденными организациями. Критерии для определения “доверенности” ПО и программно-аппаратных комплексов (ПАК) устанавливаются ФСТЭК и ФСБ. “Доверенным” ПО можно считать те, которое прошло проверки на безопасность и технические аудиты от аккредитованных организаций и не содержит скрытых угроз. Об этом сообщил Николай Сокорнов, директор департамента разработки ПО компании “Рексофт”.
Подгруппа, возглавляемая вице-президентом “Ростелекома” Борисом Глазковым, предложила создать систему репозиториев.
Проект предусматривает создание “стандартных решений для распределенной системы защищенных репозиториев ДПО, предназначенных для разработки, тестирования, хранения, распространения, развития и технической поддержки российского программного обеспечения”. Этот проект позволит сделать российское ПО более совместимым, продлить его срок службы и снизить расходы на разработку программных продуктов.
Согласно документу, Минцифры будет отвечать за реализацию проекта, который будет финансироваться из бюджетных средств и грантовой поддержки.
Создание репозитория ДПО позволит компаниям и организациям иметь доступ к проверенному и безопасному программному обеспечению, что поможет уменьшить риски, связанные с информационной безопасностью, пояснил Руслан Субхангулов, директор по продукту Crosstech Solutions Group.
Для того чтобы репозиторий мог эффективно функционировать, необходимо разработать не только систему хранения кода и дистрибутивов, аналогичную GitHub, но и процедуры сертификации – устанавливать требования к доверенному программному обеспечению. Система может включать в себя защищенные репозитории, к которым доступ будет иметь только авторизованные пользователи, механизмы контроля доступа и проверки целостности кода, а также автоматические обновления, добавил Евгений Калашников, руководитель портфеля DevOps-продуктов платформы “Сфера”. На данный момент в России нет ресурса, который бы осуществлял верификацию программного обеспечения и хранил доверенные версии, продолжает Роберт Аксенов.
Создание безопасного репозитория, по мнению Евгения Калашникова, потребует примерно 1 миллиард рублей, но финальная стоимость будет зависеть от масштаба и функционала системы. По оценкам Роберта Аксенова, общие затраты на инфраструктуру, разработку, обеспечение безопасности, эксплуатацию и сопровождение проекта до 2027 года могут достигнуть 3 миллиардов рублей.
