По предварительным оценкам, на проект потребуется порядка 3 млрд. рублей.
Как сообщает Cnews, до 2027 года в России планируют создать систему защищенных репозиториев для хранения отечественного программного обеспечения (ПО). На первом этапе в систему планируется включить около 30% отечественных решений, а к 2030 году — 80%. Определение критериев «доверенности» возьмут на себя ФСТЭК и ФСБ.
Зачем вообще нужно такое хранилище?
Планируется, что создание системы защищенных репозиториев поможет:
- обеспечить совместимость отечественного ПО;
- продлить его жизненный цикл;
- сократить затраты на его разработку.
За реализацию проекта будет отвечать Минцифры. Финансироваться проект будет, в частности, из бюджета и грантов.
По предварительной оценке, на создание защищенной системы понадобится около 3 млрд рублей, включая затраты на инфраструктуру, разработку, ПО для обеспечения безопасности, эксплуатацию и сопровождение.
Безопасное и верифицированное ПО
Система защищенных репозиториев может включать механизмы контроля доступа и проверки целостности ПО, а также автоматические обновления. Она позволит компаниям и организациям иметь доступ к верифицированному и безопасному софту, а также минимизировать риски, связанные с информационной безопасностью.
Однако для реализации этих функций необходимо разработать порядок сертификации ПО. В настоящее время в России отсутствует ресурс, который бы верифицировал доверенность софта и хранил доверенные версии. Реестр отечественного ПО подтверждает только происхождение и соответствие формальным требованиям, а дистрибутивы и код, как правило, хранятся в других источниках.
Как считают эксперты, сроки создания проекта довольно реалистичны. Как отметил гендиректор IW Group Александр Шибаев, репозиторий — это обычный ЦОД, которых в нашей стране довольно много, а построение чего-то нового — это простая, понятная и короткая задача.
Реальная потребность в проверенном ПО
Ранее в нашей стране уже были инициативы по созданию хранилищ безопасного программного обеспечения. Первый в РФ доверенный репозиторий представила компания «Ростелеком». «РТК-феникс» — это репозиторий для хранения и проверки open source пакетов и библиотек. Работает решение на базе подсистемы мониторинга безопасности кода по собственным методикам SOC «Ростелекома». Встроенный анализатор кода и другие ИБ-инструменты под капотом проверяют ПО и его дочерние зависимости на предмет нежелательных компонентов.
Создание подобных решений — реальный способ повысить уровень безопасности российского ПО. Напомним, после обострения политической ситуации разработчики начали массово находить в open source софте вредоносные закладки различной степени опасности.
Что еще почитать по теме:
- Очередная атака на цепочки поставок ПО. Впервые — с помощью open source
- Российскую альтернативу GitHub запустят уже в сентябре 2023-го. В проекте участвуют госструктуры, банки и даже физлица
