Эксперты: вовлеченность ИТ-компаний в безопасную разработку ПО выросла в 10 раз за два года

10 декабря в Москве прошел пятый День безопасной разработки ПО – ежегодная отраслевая конференция под эгидой Ассоциации разработчиков программных продуктов (АРПП) «Отечественный софт». Мероприятие состоялось при участии ИСП РАН им. В.П. Иванникова на площадке Открытой конференции ИСП РАН.

Рост киберугроз сегодня все больше повышает интерес ИТ-сообщества к защите информации и внедрению практик безопасной разработки ПО. Участниками Дня РБПО в гибридном формате стали порядка 1000 специалистов по информационной безопасности, разработчиков ПО, технических директоров, лидеров AppSec команд, а также представителей регуляторов, отраслевого и научного сообщества.

Модератором конференции традиционно выступил Роман Карпов, глава комитета по информационной безопасности АРПП «Отечественный софт», директор по стратегии и развитию технологий Axiom JDK. Открывая конференцию, он отметил, что популяризация практик и инструментов безопасной разработки – одна из ключевых задач работы ИБ-комитета АРПП. «Два года назад День РБПО начинался как закрытая встреча для профильных специалистов, но сегодня с учетом новых киберугроз и вызовов формат и масштаб события заметно расширились. По нашим данным, вовлеченность ИТ-компаний в тематику безопасной разработки за этот период выросла более чем в 10 раз. Появилось понимание конкретных потребностей разработчиков и приоритетные категории инструментов: это трекинг задач и багов, статический анализ кода, динамический анализ кода и инструменты композиционного анализа. Пятый, юбилейный День РБПО мы проводим совместно с ИСП РАН, партнером, который поддерживает нас с точки зрения методологического вклада и инструментов. Такая синергия науки и бизнеса очень важна для отрасли, она дает дополнительные стимулы и возможности для устойчивого развития и достижения целей технологического суверенитета».

Приветствуя участников конференции, исполнительный директор АРПП «Отечественный софт» Ренат Лашин констатировал: «Сообщество безопасной разработки активно растет: интерес и понимание становятся глубже, а заказчики все чаще обращают внимание на эффективно защищенные решения. Именно поэтому мы планируем внедрить новый формат Дней РБПО: в первом полугодии проводить мероприятие под эгидой АРПП, как это было раньше, а каждый декабрь — совместное мероприятие с ИСП РАН и ФСТЭК, как сегодня. Такой ритм позволит в первом полугодии обсуждать планы и задачи, а во втором — подводить итоги. Уверен, что регулярный диалог между вендорами, регуляторами, заказчиками и конечными пользователями российских решений поможет быстрее согласовывать ожидания и практики всех сторон».

Арутюн Аветисян, директор ИСП РАН, подчеркнул: «То, что сегодня собрались вместе представители науки, бизнеса и государства, — знаковая история: еще год-два назад такую синхронизацию сложно было представить. Практика показывает, что отдельные проекты больше не решают задачу, нужен переход к сообществу вокруг технологий. Государство важно прежде всего как регулятор, который задает прозрачные правила игры, а не только как источник поддержки. Тогда отрасль растет и требования к уровню решений становятся общими для рынка».

Илья Массух, директор Центра компетенций по импортозамещению в сфере ИКТ, акцентировал внимание на том, что импортозамещение сегодня – это и есть безопасная разработка: «Понимание безопасной разработки ПО со временем изменилось. Сначала шла дискуссия о том, что надежнее: западный вендор или open source. Со временем пришло осознание, что зарубежные продукты несут риски и могут использоваться для атак и встраивания деструктивных элементов. На этом фоне важную роль сыграл open source, поддерживаемый российскими разработчиками. Импортозамещение стало чем-то большим: сегодня создаются решения на отечественных компонентах, и делается это безопасно. В этом большая заслуга сообщества, которое объединилось вокруг создания российского ядра Linux при ИСП РАН, и многих участников АРПП, поддерживающих принципы безопасной разработки».

Деловую программу продолжила Елена Маньжова, представитель органа по сертификации ИСП РАН. Эксперт рассказала, зачем нужна унификация регламентов РБПО и как пользоваться типовым комплектом документов: что в него входит, почему выбран именно такой набор, как выстраивать работу с материалами и обратной связью. «Есть две глобальные цели унификации регламентов безопасной разработки. Первая — методическая помощь ИТ-компаниям при подготовке собственного комплекта документов. Для этого предлагаются готовые проекты, разработанные нами, которые соответствуют основному стандарту по РБПО и учитывают связанные стандарты. Вторая цель — помощь при внедрении. Она рассчитана на тех, кто только начинает и не понимает, как выстроить процессы так, чтобы они соответствовали стандартам», — сообщила Елена Маньжова. Подготовка типового набора документов – большое подспорье для компаний, внедряющих РБПО, и это полностью отвечает запросу членов ИБ-комитета АРПП «Отечественный софт».

Далее эксперты рассмотрели конкретные кейсы компаний по контролю кода и компонентов, снижению ложных срабатываний анализаторов, внедрению культуры безопасной разработки и применению подходов DevSecOps.

День РБПО в очередной раз подтвердил статус знаковой площадки для предметного обмена практиками безопасной разработки и обсуждения требований, которые задают стандарты для отрасли.