Продукты с открытым кодом объединяют в себе и возможности, и риски для российских разработчиков. В своей колонке Дмитрий Белков, руководитель консалтинга Application Security ГК «Солар», оценил вероятность появления доверенного open source и поговорил о процессах в основе безопасной разработки.
Open source дал разработчикам главное — скорость и гибкость. Сторонние библиотеки ускоряют вывод релизов, снижают стоимость лицензий, расширяют функциональность. Но вместе с удобством пришли и угрозы: атаки через зависимости, бэкдоры, эксплойты. Мы все помним Log4j и OpenSSL: когда до 80% библиотек остаются не обновленными, отсутствие контроля зависимостей становится системным риском.
Может ли на этом фоне появиться доверенный open source — открытые компоненты, которые можно использовать без компромиссов по безопасности? Да. Но важно договориться о критериях и инфраструктуре.
Что такое «доверенный open source»
Мы называем доверенным open source набор практик и свойств, которые делают использование открытого кода предсказуемым и безопасным:
- Прозрачная разработка: публичные репозитории, открытые процессы, активное сообщество, регулярные релизы.
- Внешняя проверка: независимый аудит, сертификация, подтверждение соответствия требованиям безопасности.
- Гарантии происхождения: загрузка только из официальных источников, проверка целостности (подписи, hash-суммы).
- Интеграция в процессы: DevSecOps-практики, SCA/SAST-инструменты встроены в CI/CD.
Есть ли на российском рынке условия для формирования такой инфраструктуры для появления доверенного открытого кода? Да, условия были всегда, но насколько полно все эти условия применяются, в этом важно разобраться.
Российские реалии: скорость против контроля
Сегодня скорость разработки растет быстрее, чем качество управления open source зависимостями. Уязвимости уходят в прод, обнаруживаются уже у заказчиков и пользователей. С появлением оборотных штрафов и усилением требований регуляторов безопасная разработка перестала быть «хорошей практикой» — это вопрос ответственности бизнеса перед партнерами и клиентами.
По данным исследования ГК «Солар» и HH.ru (июнь 2025), в ИБ-компетенциях наблюдается дисбаланс: около 25% резюме содержат «универсальные» навыки, а доля наиболее востребованных экспертов по безопасной разработке составляет лишь 4%. Как показывает практика собеседований, современные стеки (Kubernetes, CI/CD) знакомы немногим, навыков DevSecOps не хватает. В результате техническое интервью проходят лишь 40–50% кандидатов уровня middle; среди senior-специалистов компетенции подтверждают 70–80%.
Дефицит экспертизы усиливает риски: специалисты без достаточного технического бэкграунда используют готовые модули, не оценивая сопутствующие угрозы. В результате в продукты попадают компоненты с бэкдорами, скрытыми уязвимостями и недокументированным поведением — отсюда и репутация «опасного открытого кода».
Отказаться от open source сегодня невозможно. Значит, нужно инвестировать в людей и процессы.
Автор: Дмитрий Белков, руководитель консалтинга Application Security ГК «Солар»
Оригинал публикации на сайте CISOCLUB: "Доверенный open source в российских продуктах: фантазия или рабочая цель?".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.
