Поделиться
Выведена формула доверенного репозитория открытого ПО
Представители ИТ-холдинга «Т1», «СберТеха», «Росатома», ВТБ и ИСП РАН вывели формулу доверенного репозитория открытого ПО. В частности, эксперты сошлись во мнении о том, что для определения наиболее критичных требований к репозиторию и подтверждения безопасности кода необходимо участие регулятора, а функциональность и развитие доверенного репозитория должны регулироваться профессиональным сообществом. Об этом CNews сообщили представители «Т1».
Безопасность использования открытого ПО остается ключевым вопросом на фоне продолжающегося импортозамещения. Наиболее остро этот вопрос стоит для государственных структур и бизнеса, особенно организаций, относящихся к критической информационной инфраструктуре (КИИ). По словам Сергея Безбогова, заместителя руководителя технологического блока – старшего вице-президента ВТБ, с точки зрения компаний, главное условие доверия к открытому коду — это возможность его проверки и дальнейшего развития. В свою очередь, Дмитрий Харитонов, генеральный директор ИТ-холдинга «Т1», отметил, что со стороны вендора доверенность ПО определяется тремя критериями — техническим, юридическим и операционным. Во-первых, компания должна иметь возможность проверить сборку кода и протестировать его. Во-вторых, должна быть уверенность в том, что поставляемый вендором софт имеет лицензию и соблюдает требования клиента или регулятора. И, в-третьих, разработчик должен иметь возможность обеспечить дальнейшую работоспособность такого программного обеспечения.
Поэтому задача по формированию доверенного репозитория открытого ПО в первую очередь ставит перед собой вопрос прозрачности технологического стека каждого решения. Сергей Безбогов предложил начать с обмена проверенными по общим методикам библиотеками между крупнейшими игроками. По его словам, инициатива в этом процессе должна исходить от самих компаний. «Сегодня каждая крупная организация вынуждена самостоятельно проводить многоуровневые проверки библиотек, что занимает в лучшем случае несколько дней, а то и недели и месяцы. Необходимо выстроить систему, при которой библиотека проверяется один раз, а результаты этой проверки становятся доступны остальным участникам», — отметил он.
Алексей Хорошилов, руководитель Центра исследований безопасности системного программного обеспечения ИСП РАН, выделил дополнительные положительные эффекты, к которым потенциально может привести создание репозитория. «Что касается доверия и вопросов исследования безопасности, то в нашей стране действительно развиты практики, методики и технологии анализа open-source компонентов. В мире не так много государств располагают передовыми инструментами статического анализа. И мы видим растущий интерес к этим технологиям со стороны зарубежных коллег, в первую очередь из стран БРИКС, которые готовы внедрять наши подходы. Центр, созданный под эгидой ФСТЭК России, уже продемонстрировал принципиальную возможность реализации идеи совместного анализа open-source компонентов на примере разработчиков средств защиты информации. Предложения коллег из финансовой отрасли открывает новые перспективы для масштабирования подхода как внутри России, так и на международном уровне», — отметил он.
Особое внимание в ходе обсуждения было посвящено требованиям к оператору репозитория. Дмитрий Харитонов, глава «Т1», в своей речи сформулировал критерии, которым такая организация должна соответствовать, чтобы отвечать запросам государства и бизнеса.
«Во-первых, у компании должна быть необходимая экспертиза внутри, чтобы не просто тестировать код и получать сертификаты, а полноценно управлять разработкой, исправлять дефекты, вносить изменения и поддерживать продукт. Во-вторых, для работы с объектами критической инфраструктуры должен использоваться доверенный софт, а сама компания обязана иметь опыт работы с такими объектами. Без понимания уровня серьезности и специфики этой сферы компания просто не может быть допущена. Важен и фактор финансовой стабильности — оператор не должен исчезнуть с рынка завтра, это элементарная гарантия надежности и уверенности партнеров друг в друге. Кроме того, свою роль играет и регуляторика: официально подтвержденный статус системно значимой компании может служить дополнительным критерием доверия и надежности», — сказал Дмитрий Харитонов.
Кроме того, эксперты сошлись во мнении, что доверие к открытым компонентам невозможно без доверия к доработкам, которые компании создают на их базе. Евгений Абакумов, директор по информационным и цифровым технологиям Росатома, предложил выкладывать в общий репозиторий как исходный open source, так и те компоненты, которые разрабатываются на его базе внутри компаний — чтобы не тратить ресурсы на повторное решение типовых задач. «Мы видим необходимость в саморегуляции процессов подтверждения качества. Компании могут не только использовать, но и совместно формировать базу компонентов и библиотек на основе открытого кода, чтобы усилить синергию и оптимизировать затраты».
При этом российский бизнес уже выстроил существенную часть инфраструктуры для реализации доверенного репозитория. По словам Антона Атояна, заместителя генерального директора — директора департамента «Сбербанк-Технологии», в России уже существуют крупные репозитории, а также накоплен значительный опыт их безопасной эксплуатации. «Сегодня важно совместно с регулятором утвердить прозрачные критерии доверия и единые правила, которые и дальше позволят компаниям уверенно использовать и развивать открытое ПО», — сказал он.
Эксперты обсудили и дальнейшие шаги в развитии экосистемы репозитория. Среди них — подключение профильных регуляторов для разработки прозрачных методик и создание устойчивой экосистемы доверенного открытого кода, которая позволит бизнесу и государству использовать open-source более безопасно и эффективно. В качестве итога дискуссии они договорились совместно провести пилот по выработке критериев и технико-экономических показателей доверенного репозитория, как безопасной среды для разработки на примере реализации концепции ИТ-холдинга «Т1», разработанной совместно с ВТБ.
Короткая ссылка
