Open source попал под прицел

Заместитель начальника второго управления Федеральной службы по техническому и экспортному контролю РФ (ФСТЭК) Ирина Гефнер на Дне безопасной разработки программного обеспечения Ассоциации разработчиков программных продуктов "Отечественный софт" 23 июля сообщила, что более 90% всех сертифицированных средств защиты информации в России содержат заимствованные программные компоненты с открытым исходным кодом. По ее словам, этот факт подчеркивает важность необходимости уделять больше внимания вопросам безопасности и надежности таких решений.

Согласно приказу ФСТЭК №240 от 1 декабря 2023 г. разработчики средств защиты информации, содержащей сведения, составляющие государственную тайну или относимые к охраняемой в соответствии с законодательством РФ или иной информации ограниченного доступа, должны пройти сертификацию на соответствие ГОСТу по защите информации и разработке безопасного ПО. Наличие такого сертификата позволяет разработчику самостоятельно проводить испытания, связанные с изменениями средств защиты информации, - например, при обновлении продукта.

ГОСТ Р 56939-2024 "Защита информации. Разработка безопасного программного обеспечения. Общие требования" - это российский национальный стандарт, который устанавливает общие требования к процессам разработки безопасного программного обеспечения. Стандарт разработан для того, чтобы предотвращать появление, выявлять и устранять недостатки, включая уязвимости, в программном обеспечении.

В сентябре 2024 г. ФСТЭК опубликовала порядок испытаний и поддержки безопасности средств защиты информации, в состав которых входят заимствованные программные компоненты с открытым исходным кодом.

Основные моменты, на которые следует обратить внимание при подготовке документации для сертификации, по данным ФСТЭК, включают правильное представление сведений о заимствованных компонентах, определение элементов поверхности атаки и реализацию функций безопасности, а также корректность ссылок на заимствованные компоненты.

Среди типичных недостатков в представлении перечня компонентов ФСТЭК выделяет неправильное оформление списков, неверную классификацию компонентов с точки зрения атакующих угроз и отсутствие полных данных о заимствованиях. Для устранения этих проблем ФСТЭК рекомендует организовать своевременное устранение уязвимостей в заимствованных компонентах, сократить сроки внесения изменений в продукцию, повысить качество сопровождения ПО и минимизировать зависимость от зарубежного ПО с открытым исходным кодом.

Такие подходы к проверке open source касаются не только средств защиты информации, но и прикладного ПО для государственного сектора.

Согласно приказу ФСТЭК от 11.04.2025 №117, с 1 марта 2026 г. вступают в силу новые требования по защите информации в государственных информационных системах (ИС) и иных ИС госорганов. Среди прочих требований, в приказе сказано, что разработчики должны придерживаться порядка разработки безопасного программного обеспечения. По словам Ирины Гефнер, чтобы подтвердить соблюдение этого порядка, разработчики прикладного ПО для госсектора также могут пройти сертификацию.

По словам Ирины Гефнер, использование заимствованных программных компонентов является распространенной практикой среди российских разработчиков - важно лишь обеспечить безопасность собственного продукта путем регулярного обновления и мониторинга наличия уязвимостей; поставщикам средств защиты информации теперь обязательно вести учет всех использованных компонентов (Software Bill of Materials, SBOM), который станет частью процедуры сертификации и инструментом для выявления возможных рисков и исправления ошибок.

SBOM (Software Bill of Materials) - это перечень всех компонентов программного обеспечения, включая библиотеки, файлы и зависимости. Он содержит информацию о программных элементах, их версиях, лицензиях и других аспектах.

Ведущий специалист по разработке безопасного ПО, руководитель группы аудита ООО "НТЦ Фобос-НТ" Елена Быханова отметила, что выстраивать процессы в парадигме ФСТЭК России компании могут не только для соответствия требованиям регулятора, но и для себя. По ее словам, если следовать ГОСТу безопасной разработки ПО, повышается контроль над процессами, и они становятся более управляемыми; улучшается качество кода; сокращается релизный цикл с месяцев до недель или дней; уменьшается стоимость устранения новых уязвимостей, снижаются издержки на обработку рекламаций; заказчики, заинтересованные в работе с качественным ПО, обращают внимание на такие компании.

Основатель ООО "Профископ" (платформа безопасной разработки CodeScoring) Алексей Смирнов отметил аспект использования ассистентов на основе искусственного интеллекта при написании кода. По его словам, такие ассистенты в каждом пятом случае выдают несуществующие пакеты (наборы файлов и каталогов, требуемых для работы программного продукта), и 58% таких "галлюцинаций" повторились более одного раза.

"Эти пакеты, которые рекомендуют модели, могут создать злоумышленники, заложив туда вредоносный код", - отметил Алексей Смирнов. Чтобы решить эту проблему, по его словам, необходимо настраивать политики контроля open source.