25/11/24
19 ноября в Москве, в «Кибердоме», прошел День безопасной разработки ПО – конференция, посвященная безопасной и качественной разработке ИТ-решений. Организатором выступила Ассоциация разработчиков программных продуктов «Отечественный софт» при поддержке Positive Technologies.
Мероприятие объединило регуляторов, разработчиков и специалистов по информационной безопасности. Впервые в Дне безопасной разработки приняли участие представители ИЦК и ЦКР. Эксперты обсудили современные подходы к защите данных, соблюдению стандартов и внедрению передовых решений для создания надежных программных продуктов.
Приветствуя участников конференции, исполнительный директор АРПП «Отечественный софт» Ренат Лашин отметил, что тренд на безопасную разработку софта (РБПО) сегодня набирает обороты: «Заказчики все чаще говорят о важности РБПО. Мы это видим и по обращениям, поступающим в Ассоциацию, и по особому вниманию регуляторов к этому вопросу». Глава объединения напомнил, что благодаря меморандуму между АРПП и ИСП РАН члены Ассоциации могут на льготных условиях использовать инструменты безопасной разработки института.
Модераторами Дня РБПО выступили Роман Карпов, руководитель комитета по информационной безопасности АРПП «Отечественный софт», директор по стратегии и развитию технологий Axiom JDK, и Сергей Трошкин, руководитель направления сертификации Positive Technologies.
«Уже в третий раз День РБПО собирает лидеров отрасли, чтобы помочь ИТ-сообществу сориентироваться в актуальных нормативных требованиях по безопасности и передовых подходах к качественной разработке софта. Для нас важно не только обсуждать текущие вызовы, но и совместно вырабатывать практические решения для распространения практик РБПО», — поделился целями мероприятия Роман Карпов.
Сергей Трошкин отметил стремительное развитие безопасной и качественной разработки в России в условиях современных вызовов и поблагодарил специалистов, способствующих освоению новых методов работы.
Центральной темой конференции стало совершенствование процессов сертификации безопасной разработки и внедрение инновационных подходов для комплексной защиты решений. Участники рассмотрели актуальные нормативные требования, инструменты и успешные кейсы применения РБПО, а также перспективы использования искусственного интеллекта для повышения безопасности ИТ-продуктов.
Деловая программа состояла из нескольких тематических блоков. Первая часть была посвящена актуализации стандартов и требований в области безопасной разработки и защиты информации. Ирина Гефнер, заместитель начальника 2-го управления ФСТЭК России, представила перспективы модернизации нормативной базы и подготовки методических документов по сертификации средств защиты информации. В качестве важнейших нововведений за 2022-2024 годы эксперт выделила: разработку методологии внедрения и обеспечения жизненного цикла безопасного софта в организациях, принятие национальных стандартов для РБПО, также повышение безопасности СЗИ, в состав которых входят заимствованные компоненты с открытым исходным кодом, интерпретаторы, веб-сервера и сервера приложений. Приоритетной задачей на будущее Ирина Гефнер назвала запуск облачной платформы, обеспечивающей доступ к инструментам для разработки защищенного ПО в виде сервиса: «В течение следующих 5 лет мы намерены создать облачный сервис, в который интегрируем все инструменты, разработанные в рамках программы «Цифровая экономика». Это позволит разработчикам самостоятельно использовать наши ресурсы для проведения исследований в области безопасности их программного обеспечения. Таким образом, объединив усилия, мы сможем значительно повысить качество и уровень защиты отечественных продуктов».
Вартан Падарян, руководитель органа по сертификации ИСП РАН, поделился ключевыми аспектами и вызовами сертификации процессов РБПО. Спикер обратил внимание на необходимость ведения актуальной документации, практического внедрения стандартов и обеспечения контроля на всех этапах разработки. «Мы оцениваем не то, насколько хорошо организация решает свои бизнес-задачи, а то, насколько безопасен результат её деятельности — программное обеспечение, которое она выпускает», — заявил эксперт. Качественная сертификация, по словам Вартана Падаряна, невозможна без участия квалифицированных специалистов, всестороннего применения инструментов автоматизации и регулярного мониторинга процессов. При этом важным аспектом остается проверка стороннего ПО: перед включением в разработку важно провести композиционный и статический анализ, а также систематически обновлять результаты проверок.
Дмитрий Пономарев, заместитель генерального директора НТЦ «Фобос-НТ», сотрудник ИСП РАН, рассказал о развитии сообщества РБПО Центра компетенций ФСТЭК России и ИСП РАН. «Главная задача объединения — популяризация системного и фундаментального инженерного подхода при создании безопасных и качественных решений, а также подготовка высокопрофессиональных специалистов», — уточнил эксперт. Важными направлениями деятельности сообщества являются поддержка российских технологий, внедрение передовых методов регулирования и сохранение отечественной культуры разработки. «Основой нашей работы стало формирование доверительных связей между представителями бизнеса, инженерного сообщества и государственного сектора».
С обзором кейсов практического внедрения РБПО выступили эксперты компаний-участников АРПП «Отечественный софт». Спикеры поделились опытом внедрения практик и инструментов безопасной разработки: ОС на базе Linux, базы данных Postgres и среды разработки и выполнения кода Java. Так, Роман Карпов, руководитель комитета по информационной безопасности АРПП «Отечественный софт», директор по стратегии и развитию технологий Axiom JDK, объяснил, как от безопасной разработки платформы Java перейти к безопасной разработке Java-приложений. Николай Шаплов, ведущий инженер-разработчик Postgres Professional, продемонстрировал результаты фаззинга PostgreSQL, показав, как динамический анализ помогает выявлять уязвимости в сложных программных продуктах. Группа Астра, директор департамента анализа безопасности «Группы Астра», поделился этапами процесса разработки защищенных ОС на базе Linux, рассказав, где находить ресурсы для интеграции РБПО и как проводить необходимые проверки. Алексей Щербаков, начальник центра кибербезопасности платформы «Сбертех», и Станислав Корчевский, начальник отдела архитектуры кибербезопасности продуктов «Сбертех», обсудили практические аспекты формирования поверхности атаки и методы её снижения, раскрыв подходы для защиты продуктов компании на различных этапах разработки.
Прикладные инструменты для обеспечения защищенности ПО представили специалисты ГК InfoWatch, АО «ИНСЕК» и ГК «Солар». Александр Насонов, руководитель отдела безопасной разработки ГК InfoWatch, презентовал кейс аудита уязвимостей 3rdparty данных, объяснив, как анализировать и отслеживать защиту заимствованного кода на всех этапах его использования. Алексей Бегаев, основатель АО «ИНСЕК», рассказал о возможностях безопасной разработки без кардинальных изменений в инфраструктуре. Татьяна Куцовол, ведущий аналитик-исследователь ИБ департамента appScreener ГК «Солар», продемонстрировала решение сложных задач композиционного анализа через исследование зависимостей.
Впервые в рамках Дня безопасной разработки АРПП были рассмотрены методы применения РБПО для нестандартных информационных систем. Светлана Газизова, руководитель направления построения процесса безопасной разработки Positive Technologies, подняла тему безопасности искусственного интеллекта и роль DevSecOps в этом процессе. Спикер говорила о важности обеспечения защиты ИИ, автоматизации этих процессов и популяризации практик РБПО. Олег Карпицкий, глава комитета по развитию экосистемы российских мобильных продуктов АРПП «Отечественный софт», генеральный директор «НТЦ ИТ РОСА», обозначил особенности безопасной разработки мобильных платформ. Эксперт отметил, что мобильные телефоны всегда находятся вне защищенной зоны, в отличие от стационарных устройств, что требует особого подхода к безопасности, например, изоляции корпоративных приложений для защиты данных. Алексей Смирнов, основатель CodeScoring, раскрыл важность стандартизации работы со сторонними компонентами при разработке ПО и объяснил, почему использование SBoM (Software Bill of Materials) является ключевым для повышения безопасности программных продуктов. Дмитрий Шмойлов, руководитель подразделения безопасного ПО «Лаборатория Касперского», предложил подходы к внедрению безопасной разработки с использованием DevSecOps и MLSecOps, а также определил цели, метрики и способы их измерения для повышения безопасности ПО.
День РБПО стал значимой площадкой для обсуждения вопросов соответствия стандартам, использования актуальных инструментов и инновационных решений, направленных на повышение надежности российского ПО. Мероприятие объединило профессионалов отрасли для обмена опытом и развития ИТ-решений в условиях новых вызовов.
