23 июля в Москве на площадке компании «Код Безопасности» прошел День безопасной разработки ПО (РБПО) — практическая конференция, посвященная современным практикам создания защищенных ИТ-решений. Организатором выступила Ассоциация разработчиков программных продуктов «Отечественный софт» при поддержке «Кода безопасности».

Участниками мероприятия в гибридном формате стали более 200 специалистов по информационной безопасности, разработчики ПО, регуляторы и представители научного сообщества. Модератором события выступил Роман Карпов, глава комитета по информационной безопасности АРПП «Отечественный софт», директор по стратегии и развитию технологий Axiom JDK.

«Это четвертая конференция по теме безопасной разработки ПО, организованная АРПП «Отечественный софт», ее цель обсудить современные нормативные требования и лучшие практики безопасной разработки. Мы должны совместно находить решения для преодоления общих проблем», — отметил Роман Карпов.

Дмитрий Зрячих, технический директор компании «Код безопасности», приветствуя участников конференции, подчеркнул важность обсуждаемой темы и призвал экспертов учитывать, что разработка ПО должна быть не только безопасной, но и эффективной.

Конференция стала центром обсуждения нормативных вопросов в РБПО, обучения и сертификации специалистов, а также проблем композиционного анализа и создания контролируемого репозитория.

Ирина Гефнер, заместитель начальника 2-го управления ФСТЭК России, представила основные направления совершенствования системы сертификации ФСТЭК России. Спикер поделилась результатами деятельности регулятора и рассказала об изменениях в порядке проведения сертификации безопасной разработки ПО. Участники конференции получили разъяснения по порядку испытаний и поддержке безопасности средств защиты информации, в состав которых входят заимствованные программные компоненты с открытым исходных кодом. Представитель регулятора продемонстрировала методику выявления уязвимостей и недекларированных возможностей в ПО. Ирина Гефнер рассказала, как проходят испытания средств статистического анализа исходного кода и аттестация работников органов по сертификации и испытательных лабораторий.

Вартан Падарян, руководитель органа по сертификации ИСП РАН, затронул проблематику «цепочки поставки» — процессов и технологий, используемых для защиты ПО на протяжении всего его жизненного цикла, начиная с идеи, продолжая разработкой и заканчивая эксплуатацией.

Для решения этой проблемы эксперт призвал к созданию контролируемого репозитория: «Если мы говорим про безопасность, весь код необходимо размещать в своем внутреннем репозитории. А если к такому репозиторию применяются регламентируемые проверки, установленные регулятором и внутренними требованиями, то его можно называть контролируемым репозиторием. В нем необходимо хранить как заимствованное ПО, которое входит в состав разработки, так и привлекаемое ПО, обеспечивающее сам процесс разработки».

Вартан Падарян также рассказал о политике безопасности в отношении стороннего ПО и о технологии композиционного анализа, провел сравнение зарубежных инструментов SCA/OSA и представил отечественные инструменты композиционного анализа.

Дмитрий Подшибякин, начальник отдела безопасной разработки «Кода безопасности» в своем выступлении описал первые проблемы и результаты внедрения процессов РБПО. «Начать лучше с проведения независимого аудита процессов безопасной разработки, результатами которого могут быть: независимая оценка количества реализованных процессов РБПО и степени их внедрения, рекомендации по устранению недостатков, рекомендации по совершенствованию процессов РБПО», — заверил эксперт. Он поделился вариантами решения проблем при планировании процессов РБПО, композиционном анализе, обучении сотрудников, обеспечении безопасности используемых секретов и проверки кода на предмет внедрения вредоносного ПО через цепочки поставок.

Елена Быханова, ведущий специалист по РБПО, руководитель группы аудита «НТЦ Фобос-НТ», представила участникам конференции отечественную базу стандартов в области РБПО, затронула тему аудит-консалтинга и поделилась своим опытом работы в этом направлении. «Действительно, внедрять РБПО поначалу очень сложно, но кто пройдет этот путь, сможет увидеть реальную бизнес-эффективность. Главное — начать», — резюмировала эксперт.

Выступление Алексея Смирнова, основателя CodeScoring, было посвящено теме влияния применения ассистентов программиста на процессы безопасной разработки. Эксперт сообщил, что с появлением ИИ-ассистентов количество утечек кода увеличилось на 40%, и, что утечки данных, использованных для обучения нейросетей, стали уже типичной проблемой. Использование генеративного искусственного интеллекта в разработке программного обеспечения может негативно сказываться на качестве кода, это связано с риском утечек кода, так называемыми «галлюцинациями» больших языковых моделей и воспроизведением уже существующих ошибок и уязвимостей.

Виталий Насонов, начальник отдела безопасной разработки СИГМА (Интер РАО), рассказал о практико-ориентированном подходе к обучению специалистов по безопасной разработке. По мнению эксперта, оптимальным представляется обучение на практических задачах в бою, а недостатком такого варианта является обязательное наличие внутреннего или внешнего ментора. Виталий Насонов назвал, какие hard skill должен иметь джун «на входе» и представил карту этапов обучения. Эксперт также рассмотрел этапы построения цикла безопасной разработки и обозначил потребности бизнеса, которые на этих этапах возникают.

Построение безопасной доверенной ИТ-инфраструктуры и информационных систем в соответствии с новыми требованиями ФСТЭК России стало темой доклада Сергея Груздева, генерального директора АО «Аладдин Р.Д.». «Основное, на чем следует сфокусироваться — это устранение точек отказа и их выявление», — заявил он. Эксперт разобрал новые требования ФСТЭК России к защите информации в ГИС, которые вводятся в действие 1 марта 2026 года. Спикер поделился ключевыми аспектами обеспечения правильного выполнения требований по идентификации и аутентификации, рассказал о требованиях к обеспечению удаленного доступа и защите конечных, мобильных (переносных) устройств и съемных носителей. «Эффективность внедрения РБПО зависит от выполнения ключевых требований нового 117-го Приказа ФСТЭК России», — считает Сергей Груздев.

Алексей Хорошилов, руководитель Центра исследований безопасности системного ПО ИСП РАН, рассказал о структуре, функциях, участниках и программах исследования руководимого им Центра: «Центр создан на базе ИСП РАН в России, чтобы организовывать совместное исследование open-source компонентов. Мы занимаемся применением РБПО-практик к open-source компонентам, решая задачу разделения стоимости применения этих практик для организаций, а для регулятора повышения качества проводимых исследований».

Практическими аспектами безопасной разработки поделился Алексей Вишняков, старший инженер по информационной безопасности Yandex Cloud. «Мы внедряем и продолжаем поддерживать безопасность разработки в Яндекс.Облаке», — эксперт рассказал, с какими проблемами его компании приходится сталкиваться, как они решаются и какие ключевые задачи сейчас стоят перед командой.

Даниил Владимиров, директор управления стратегического развития и приоритетных проектов ПАО «Ростелеком», заместитель Председателя Ассоциации КП ПОО, осветил в своем выступлении проблемы, вызовы и возможности доверенного ПО. «Ключевой задачей развития разработки ПО в РФ является более эффективная и соответствующая целям импортозамещения и цифрового суверенитета категоризация ПО через определение новой специальной категории ПО в Реестре – «Доверенное ПО», подтверждающей суверенитет разработки ПО», — заявил эксперт.

Опытом создания доверенного корпоративного репозитория поделился Кирилл Пихтовников, технический директор Ростелеком ИТ: «РТК-Феникс решает задачу предоставления разработчикам ПО инструментов, позволяющих снизить риски при использовании open-source артефактов, без внесения изменений в существующие процессы разработки».

Анастасия Калугина, руководитель направления безопасной разработки и инфраструктуры ИнфоТеКС, рассказала, как выстроен процесс безопасной разработки в ее организации. Эксперт поделилась лайфхаками управления процессами и опытом преодоления проблем внедрения.

Сас Арустамян, директор центра оценки соответствия и тестирования АО «НПО «Эшелон», дал практические советы по выстраиванию процессов РБПО в компании. По мнению эксперта, препятствиями на пути внедрения РБПО являются: нехватка компетенций и специалистов, отсутствие бюджета на безопасность, неправильно настроенная политика ИБ, непонимание приоритетов между сроками и безопасностью, сопротивление разработчиков из-за усложнения процессов.

День РБПО вызвал традиционно высокий интерес у участников. Конференция подтвердила свою значимость как площадка для профессионального диалога между разработчиками и регуляторами в сфере кибербезопасности.

Фотогалерея