Компании составят критерии доверенного репозитория
Единые критерии представители банка ВТБ, ИТ-холдинга Т1, "СберТеха", "Росатома" и ИСП РАН обсудили на Kazan Digital Week - 2025. По их мнению, регулятор должен участвовать в разработке требований к репозиторию и подтверждении безопасности кода. При этом профессиональному сообществу следует регулировать функциональность и развитие.
Как объяснил представитель пресс-службы Т1 ComNews, в каком виде будут закреплены критерии, будет известно после апробации и обсуждения с регулятором.
Участники дискуссии обсудили конкретные критерии. В частности заместитель руководителя технологического блока - старший вице-президент ВТБ Сергей Безбогов считает, что компании должны обмениваться проверенными по общим правилам библиотеками. "Каждая крупная организация вынуждена самостоятельно проводить многоуровневые проверки библиотек, что занимает в лучшем случае несколько дней, а то и недели, месяцы. Необходимо выстроить систему, при которой библиотека проверяется один раз, а результаты проверки становятся доступны остальным участникам", - сказал Сергей Безбогов.
Также участники обсудили требования к оператору репозитория. Глава Т1 Дмитрий Харитонов считает, что им может стать компания, у которой есть внутренняя экспертиза и опыт работы с объектами КИИ. Также организация должна быть финансово стабильной. Дополнительный критерий надежности - официально подтвержденный статус системно значимой компании.
Директор по информационным и цифровым технологиям "Росатома" Евгений Абакумов предложил выкладывать в общий репозиторий исходный open source компоненты, которые разрабатываются на его базе внутри компаний. Это необходимо, чтобы не тратить ресурсы на повторное решение схожих задач.
Участники договорились провести пилот по выработке критериев и технико-экономических показателей доверенного репозитория, как безопасной среды для разработки на примере реализации Концепции ИТ-холдинга Т1, разработанной совместно с ВТБ.
Представитель пресс-службы T1 сказал ComNews, что на данный момент идет проработка пилота. Он уточнил, что концепция не ведет к единой площадке - должен быть выбор: "Насколько репозитории будут доверенными, покажет пилотный проект, который мы будем проводить. Тема важная и затрагивает множество субъектов, необходимо пристально следить за тем, как будет развиваться этот вопрос".
По словам заместителя генерального директора - директора департамента "Сбербанк-Технологии" Антона Атояна, в России уже существуют крупные репозитории. Кроме того, накоплен опыт их безопасной эксплуатации. А партнер и исполнительный директор "1С Про Консалтинг" Николай Мокрецов сказал ComNews, что каждая корпорация создает свой репозиторий, так как нет единого.
В мае 2023 г. правительство Москвы открыло доступ к библиотеке разработок с открытым кодом Mos.Hub - модернизированному городскому репозиторию ПО.
В июне 2023 г. "Ростелеком" создал "РТК-Феникс" и заявил, что это первый отечественный репозиторий, проверенный на безопасность open-source-пакетов, используемых при разработке ПО. Тогда представитель пресс-службы "Ростелеком" объяснил ComNews, что его функция - снижать риски безопасности ПО за счет проверки при разработке библиотек, в то время как репозиторий правительства Москвы скорее является аналогом GitHub.
Репозиторий для финансовых организаций разработала Ассоциация ФинТех. Представители ассоциации заявляли, что репозиторий понадобился для выполнения требования государства, а также по причине, что существующие репозитории создавались без учета специфических требований отрасли.
"Все эти площадки изначально про разное: инфраструктура, финсектор, городской контур. Они решают локальные задачи и не конкурируют между собой", - объяснил директор по инновациям разработчика и интегратора в финтехе Fork-Tech Владислав Лаптев.
ComNews направил запрос в "Ростелеком", Департамент информационных технологий Москвы и Ассоциацию ФинТех, но ответа не получил.
Ранее Министерство цифрового развития, связи и массовых коммуникаций (Минцифры) заявляло, что создаст единый российский репозиторий. Однако позже поменяло планы и на данный момент разрабатывает единое регулирование для существующих репозиториев. "Ведется разработка концепции создания экосистемы репозиториев, определяющей подходы к развитию открытого ПО в России, требования к "национальным" репозиториям и основные направления нормативного регулирования этой сферы", - рассказал представитель пресс-службы Минцифры.
"Регулирование отрасли в этой части не нужно, но критерии помогут различным репозиториям и разработчикам быть эффективнее", - считает Николай Мокрецов.
"Единые критерии необходимы, но работа с репозиториями должна осуществляться по гибридной модели. Достаточно фиксировать при участии регулятора критичный минимум по безопасности кода, а сами методики и развитие функционала оставлять профессиональному сообществу разработчиков", - считает Владислав Лаптев.
