Минцифры уравняет цены на софт для госзакупок

Яков Шпунт 30 Октября 2024 - 09:53

...

Минцифры уравняет цены на софт для госзакупок

До конца года профильное ведомство создаст единый ценник для госзакупок ПО. Выравнивание цен позволит снять имеющиеся вопросы Счетной палаты из-за заметных различий в цене на один и тот же продукт.

По данным источников РБК, об этом сообщил Максут Шадаев на заседании Ассоциации предприятий компьютерных и информационных технологий (АПКИТ).

Пресс-служба Минцифры подтвердила изданию эту информацию. Данную работу будут вести совместно Минцифры, Счетная палата и участники рынка.

Как заявил Максут Шадаев, выступая в АПКИТ, Счетная палата выявляла факты закупок одного и того же ПО примерно в равных условиях, но за разную стоимость. Как отметил министр, это дает надзорному ведомству как минимум повод подозревать участников таких сделок в недобросовестности.

Минцифры, как заявил Максут Шадаев, планирует установить диапазон цен, за границы которого нельзя будет выходить.

«Решение обеспечит прозрачность ценообразования в условиях перехода на отечественные продукты, чтобы один и тот же продукт не приобретался по разным ценам при схожих условиях», — пояснил РБК представитель Минцифры.

Рост цен на российское ПО давно стал объектом критики как для потенциальных потребителей, так и государственных ведомств. На конференции BIS Summit заместитель директора ФСТЭК Виталий Лютиков назвал цены на многие средства защиты информации завышенными.

На том же мероприятии директор Центра компетенций по импортозамещению Илья Массух признал, что рост цен на российское ПО заметно опережает темпы инфляции, однако оно все равно часто дешевле зарубежных аналогов.

Опрошенные РБК эксперты связали разнобой в ценах, с одной стороны, с деятельностью посредников, которые устанавливают цены, существенно отличающиеся от тех, что установил вендор. С другой стороны, многие покупатели, особенно крупные, всячески лоббируют специальные ценовые условия.

Часто вмешиваются и другие факторы. В ряде случаев в цену ПО включают дополнительные затраты, например, на обучение персонала, дополнительную глубокую настройку и адаптацию под требования заказчика и интеграцию.

Следующая главная новость »

Машинное обучение и ИИ в ИБ: где работает, а где — миф? Обсудим на эфире — регистрируйтесь!

Екатерина Быстрова 25 Февраля 2026 - 10:29

Уязвимости сайтов Домашние пользователи Корпорации Mozilla

Firefox 148 первым внедрил встроенную защиту от XSS

Mozilla сделала важный шаг в борьбе с одной из самых живучих веб-уязвимостей — XSS (межсайтовый скриптинг). В Firefox 148 компания первой внедрила стандартизированный Sanitizer API, встроенный инструмент для очистки небезопасного HTML прямо на уровне браузера.

XSS десятилетиями остаётся в топе самых распространённых проблем веб-безопасности.

Суть проста: если сайт позволяет злоумышленнику вставить вредоносный HTML или JavaScript через пользовательский контент, атакующий может перехватывать действия пользователя, красть данные и управлять сессией до тех пор, пока уязвимость не будет закрыта. Несмотря на множество защитных механизмов, XSS стабильно держится в числе лидеров рейтингов вроде CWE-79.

Раньше разработчики полагались, например, на Content Security Policy (CSP), но её внедрение часто требовало серьёзной переработки архитектуры и постоянного контроля со стороны специалистов по безопасности. Для небольших проектов это оказывалось слишком сложно.

Sanitizer API призван упростить задачу. Он позволяет очищать небезопасный HTML перед тем, как вставлять его в DOM. Главная цель — заменить рискованное использование свойства innerHTML, которое «слепо» вставляет и исполняет всё, что ему передали.

Вместо этого предлагается метод setHTML(). Если злоумышленник попытается внедрить что-то вроде <img src=x onerror=alert(1)>, новый механизм автоматически удалит опасный атрибут onerror. В итоге пользователь увидит безопасный HTML без выполнения вредоносного кода.

По умолчанию API работает в безопасной конфигурации, но разработчики могут настраивать его под свои задачи — определять, какие теги и атрибуты разрешены, а какие нужно удалять. Для более строгого контроля Sanitizer API можно использовать вместе с Trusted Types, что позволит централизованно управлять вставкой HTML и блокировать небезопасные методы.

Появление Sanitizer API в Firefox 148 фактически открывает новую главу в браузерной защите от XSS. Ожидается, что другие крупные браузеры тоже внедрят этот стандарт.

Если setHTML() действительно начнёт массово вытеснять innerHTML, у разработчиков наконец появится простой и встроенный инструмент против одной из самых старых и упорных уязвимостей интернета.

Машинное обучение и ИИ в ИБ: где работает, а где — миф? Обсудим на эфире — регистрируйтесь!