Российская ИТ-отрасль формирует новые практики безопасной разработки ПО

Участники конференции обсудили применение искусственного интеллекта в процессах разработки, современные подходы к безопасности Open Source-компонентов, защиту цепочки поставок ПО, внедрение практик DevSecOps и развитие процессов безопасной разработки в российских компаниях.

Приветствуя участников конференции, Ренат Лашин, исполнительный директор АРПП «Отечественный софт», подчеркнул: «Интерес к теме безопасной разработки продолжает расти: за время проведения Дней РБПО вовлеченность ИТ-компаний увеличилась более чем в 10 раз. Сегодня для отрасли важно не только обсуждать требования и стандарты, но и обмениваться практическим опытом внедрения РБПО в реальные процессы. Мы видим, что вокруг этой темы формируется профессиональное сообщество, и задача Ассоциации — создавать условия для активного диалога между разработчиками, заказчиками, экспертами и регуляторами, чтобы лучшие практики безопасной разработки становились отраслевым стандартом».

«Для UserGate безопасность кода — это не просто тренд или формальное требование, а фундаментальный принцип нашей работы и основа доверия клиентов. Мы гордимся тем, что поддерживаем инициативы АРПП «Отечественный софт» по популяризации культуры безопасной разработки в стране. Хочу подчеркнуть, что в ближайшее время компания UserGate планирует завершить процедуру сертификации по стандартам РБПО. Это станет важным стратегическим этапом, который подтвердит зрелость наших внутренних процессов и гарантирует заказчикам высочайший уровень защищенности поставляемых нами решений», — поделился Дмитрий Курашев, директор-сооснователь UserGate.

Модератором конференции традиционно выступил Роман Карпов, руководитель комитета по информационной безопасности АРПП «Отечественный софт», генеральный директор Axiom JDK. «По итогам проведения Дней РБПО мы в Ассоциации видим запрос на три направления помощи: внедрение практик по требованиям ФСТЭК, аудит по ГОСТ 56939-2024 и подготовку документации по четвертому уровню доверия. В ближайшее время АРПП планирует сформировать целевые программы поддержки РБПО, чтобы компании могли переходить от интереса к теме к практическому внедрению процессов безопасной разработки», — заявил Роман Карпов.

Отдельный блок программы был посвящен развитию нормативной и методической базы РБПО. Эксперты рассмотрели вопросы совершенствования профиля защиты, практические инструменты внедрения требований ГОСТ по безопасной разработке, а также новые подходы к исследованию безопасности заимствованных компонентов.

Анастасия Сакулина, консультант Банка России, рассказала о новой редакции профиля защиты: в ней раздел 7.4 был приведен в соответствие с ГОСТ по РБПО, а требования к безопасному жизненному циклу разработки стали более детализированными и проверяемыми. По словам эксперта, «профиль защиты — живой документ, который регулярно анализируется как испытательными лабораториями, так и кредитно-финансовыми организациями. Предложения по его совершенствованию учитываются при подготовке новых редакций. С учетом развития технологий Банк России планирует развивать раздел 7.4, дополняя профиль защиты требованиями к безопасному внедрению новых технологий». 

Елена Соснина, специалист ИСП РАН, представила возможности информационного ресурса РБПО.РФ, который объединяет методические материалы, типовые документы и практические рекомендации по внедрению процессов безопасной разработки. «Уже сейчас есть доступ к материалам, с помощью которых можно привести в порядок свои документы, связанные с практиками и ГОСТом РБПО. Заказчики начинают включать требования о соответствии этому ГОСТу в тендерную документацию, и у организаций возникает вопрос: как соответствовать и чем это доказать», — отметила спикер.

Алексей Хорошилов, руководитель центра исследований безопасности системного ПО ИСП РАН, обозначил роль частных методик исследования безопасности заимствованных компонентов с открытым исходным кодом. Методики должны уточнять требования для конкретных технологических стеков и архитектурных компонентов: от анализа поверхности атаки и зависимостей до статического анализа, динамических испытаний, фаззинг-тестирования и применения санитайзеров. По оценке эксперта, «общая методика не позволяет сформулировать достаточно точные критерии для всех случаев применения, поэтому многие требования остаются универсальными. Между тем отрасли необходимы более детализированные подходы, учитывающие особенности конкретных технологических стеков и архитектурных компонентов. Именно эту задачу и призван решить механизм частных методик».

Практическим опытом внедрения РБПО и применения инструментов безопасной разработки поделились представители компаний-членов АРПП и другие участники рынка.

• Сергей Нелюб, технический директор АСТРА ИИ, представил интеллектуальную систему генерации программного кода, работы с файлами, командной оболочкой, внешними инструментами и встроенными механизмами безопасности для статического анализа.
• Федор Богословский, инженер по безопасности приложений UserGate, рассказал о расширении покрытия подсистем ядра Linux в syzkaller.
• Леонид Безвершенко, старший исследователь угроз Kaspersky GReAT, проанализировал современные атаки на цепочку поставок ПО и практики эксплуатации уязвимостей.
• Евгений Рвянин, ведущий эксперт по ИБ ООО «НТЦ Фобос-НТ», разобрал типовые ошибки компаний при внедрении процессов РБПО и подготовке к сертификации.
• Анастасия Калугина, руководитель направления безопасной разработки и инфраструктуры «ИнфоТеКС», раскрыла подходы к выстраиванию единого пространства доверия в процессах РБПО.
• Илья Мочалов, руководитель разработки Мос.Хаб в Департаменте информационных технологий города Москвы, продемонстрировал средства безопасной разработки ПО на облачных Git-платформах на примере Мос.Хаб.
• Максим Индыков, технический директор «Пачки», осветил применение метода продвинутого шифрования BYOK в SaaS-сервисах и облачных данных внутри компании.
• Алексей Бегаев, основатель АО «ИНСЕК», обозначил особенности применения конвейера разработки безопасного ПО.
• Антон Бауткин, технический директор «Аладдин Р.Д.», рассмотрел применение механизмов ИИ в процессах РБПО.
• Владлен Барковский, ведущий AppSec-инженер ГК «Солар», объяснил, как ASOC может стать отправной точкой для выстраивания зрелых процессов РБПО.

День РБПО подтвердил растущий интерес отрасли к вопросам безопасной разработки и готовность компаний к практическому внедрению РБПО. В числе ключевых задач остаются развитие нормативной базы, совершенствование отраслевых практик и повышение доверия к программному обеспечению. Следующий День РБПО АРПП «Отечественный софт» планирует провести в декабре 2026 года.

Технологический партнер: «Труконф».

Информационные партнеры: «Кибермедиа», журнал «Информационная безопасность», BIS Journal - Информационная безопасность бизнеса, РУССОФТ, АПКИТ.