В России будут построены «доверенные хранилища для доверенного ПО»
Для отечественного софта планируют создать систему защищенных хранилищ — репозиториев. Храниться будет только доверенные решения. Сумма затрат на реализацию проекта может достичь 3 млрд руб.
Система хранения
Для хранения отечественного софта к 2027 г. может быть создана система защищенных репозиториев, пишут «Ведомости» со ссылкой на рабочий документ АНО «Цифровая экономика» по итогам конференции «Э+Данные», которая прошла 11 сентября 2023 г.
В систему должно быть включено доверенное ПО (ДПО). На первом этапе планируется включить около 30% таких отечественных решений, а к 2030 г. — 80%. Критерии «доверенности» определяют Федеральная служба по техническому и экспортному контролю (ФСТЭК) и ФСБ.
Предполагается, что репозитории обеспечат совместимость отечественного ПО, позволят продлить его жизненный цикл и сократить трудозатраты на создание софта. Ответственным за реализацию будет Минцифры. Проект будет осуществляться, в частности, за счет бюджетного финансирования и грантовой поддержки.
По оценкам, полученным изданием от руководителя стрима «Инженерные инструменты» платформы «Сфера» (разработчик ПО «Нота») Роберта Аксенова, стоимость системы с учетом затрат на инфраструктуру, разработку, ПО для обеспечения безопасности, эксплуатацию и сопровождение до 2027 г. может достигать 3 млрд руб.
Доверенный софт
Система может включать в себя защищенные репозитории, доступные только авторизованным пользователям, механизмы контроля доступа и проверки целостности, отсутствия повреждений или изменений кода, а также автоматические обновления, пояснил газете руководитель портфеля DevOps-продуктов платформы «Сфера» Евгений Калашников.
Репозитории ДПО позволяют компаниям и организациям иметь доступ к верифицированному и безопасному софту, минимизируя риски, связанные с угрозами информационной безопасности, добавил директор по продукту Crosstech Solutions Group Руслан Субхангулов.
Но для реализации этих функции, потребуется разработать еще и порядок сертификации ПО. В России пока нет ресурса, который бы верифицировал доверенность софта и хранил доверенные версии, как сказал Аксенов. Реестр отечественного ПО подтверждает только происхождение и соответствие формальным требованием, а дистрибутивы и код обычно хранятся в других источниках, отметил он.
Сроки реалистичны
Сроки реализации проекта эксперты, опрошенные «Ведомостями», считают реалистичными. «Репозиторий — это обычный центр обработки данных (ЦОД), которых в нашей стране уже полно. Если надо выстроить что-то новое, так это простая, понятная и короткая задача. Годами она не исчисляется», — сказал генеральный директор IW Group Александр Шибаев.
С предложением систему защищенных репозиториев выступила подгруппа, возглавляемая Борисом Глазковым, вице-президентом «Ростелекома», который заявлял о создании собственного безопасного репозитория в июне 2023 г.
«Безопасный репозиторий создавался для использования внутри компании, но учитывая необходимость в подобном функционале у всех разработчиков программного обеспечения в России, мы решили вывести “РТК-феникс” во внешний контур», — приводил тогда CNews слова старшего вице-президент по информационным технологиям компании Кирилла Меньшова.