Эксперты включат 155 программных продукта в реестр российского ПО

Эксперты включат 155 программных продукта в реестр российского ПО

Эксперты включат 155 программных продукта в реестр российского ПО

В Министерстве связи и массовых коммуникаций Российской Федерации состоялось третье очное заседание Экспертного совета по российскому программному обеспечению (ПО). Заседание прошло под председательством главы Минкомсвязи России Николая Никифорова при участии представителей Минкомсвязи, Министерства промышленности и торговли РФ, Министерства финансов РФ, Федеральной антимонопольной службы, Фонда «Сколково».

А также отраслевых ассоциаций, членами которых являются российские организации, осуществляющие разработку ПО. На голосование было вынесено 166 программных продуктов, большую часть из которых эксперты оценили заранее. В результате совет проголосовал за включение в реестр 155 программ для электронных вычислительных машин (ЭВМ) и баз данных.

На сегодняшний день в реестр российского ПО включено 86 программных продуктов. Всего на текущий момент поступило около тысячи заявлений о включении сведений о программном обеспечении в реестр. Из них в отношении 282 заявлений проводится проверка, 86 зарегистрировано и в ближайшее время заявления будут распределены между членами совета для подготовки экспертной оценки, по 367 заявкам готовится оценка членами Экспертного совета.

На голосование Экспертного совета о соответствии требованиям правил формирования и ведения реестра было вынесено 166 программ для ЭВМ. В число рассмотренных вошла также заявка, по которой ранее было принято решение о продлении процедуры рассмотрения.

По результатам голосования совета 155 программных продуктов признаны соответствующими требованиям формирования и ведения единого реестра для электронных вычислительных машин и баз данных, из них 147 соответствуют классам программного обеспечения, указанным заявителем, и еще восемь — классам ПО, определенным ответственным членом Экспертного совета. В ближайшее время они будут включены в реестр российского ПО в установленном порядке.

Эксперты высказались против включения в реестр ряда продуктов из-за принадлежности их компонентов, отвечающих за работоспособность ключевого функционала ПО, к третьей стороне — иностранным производителям. Кроме того, представителями отраслевых ассоциаций, членами которых являются российские организации, осуществляющие разработку ПО, было предложено вынести на обсуждение совета вопрос о целесообразности принятия общего решения о том, что такое ПО не является российским и включение его в реестр недопустимо.

«Существенную часть заявок мы вынесли на голосование совета, по итогам которого реестр может быть значительно расширен. Нужно воздержаться от включения в реестр спорных позиций — ведь это реестр именно российского ПО, и совершенно точно не “клонов” иностранного ПО или части их ключевых компонентов, — сказал Николай Никифоров. — В случае если заявленное ПО содержит компоненты иностранных продуктов, отвечающие за ключевой функционал, то эксперты вправе отказать во включении такого продукта в реестр. Также важно учитывать возможность свободного обращения программ на всей территории Российской Федерации».

Напомним, работа совета ведется в рамках реализации норм Федерального закона №188-ФЗ от 29 июня 2015 года, которые определили порядок и условия признания ПО, происходящим из РФ, а также создание соответствующего реестра российского ПО, подтверждения его происхождения из Российской Федерации, а также в целях оказания правообладателям ПО мер государственной поддержки.

Не просто сканер, а разбор находок: SASTAV вынесли в формат ИБ-сервиса

ShiftLeft Security, разработчик платформы анализа защищённости исходного кода SASTAV, объявила о партнёрстве с провайдерами управляемых сервисов ИБ, включая системного интегратора УЦСБ. Теперь заказчики смогут передавать проверку кода и валидацию уязвимостей внешним экспертным командам.

Модель рассчитана на одну из частых проблем при работе с SAST-инструментами — большое количество ложноположительных срабатываний.

Вместо того чтобы отдавать заказчику сырой поток предупреждений, сервис предполагает полный цикл проверки: код загружается в защищённый контур платформы, проходит автоматизированный анализ небезопасных паттернов, зависимостей и конфигураций, а затем результаты дополнительно проверяют эксперты.

На выходе компания получает не просто список технических алертов, а подтверждённые уязвимости с приоритизацией, описанием возможного влияния на бизнес и рекомендациями по исправлению. Это должно снизить нагрузку на внутренние ИБ-команды и разработчиков, которым обычно приходится тратить время на разбор нерелевантных находок.

SASTAV может анализировать разные части приложения: бэкенд-сервисы, frontend, API-контуры и инфраструктурные манифесты. При оценке учитываются архитектура и бизнес-логика конкретного проекта, а критичность находок ранжируется с учётом вероятности эксплуатации.

Услуга будет доступна в двух форматах: как разовый аудит перед релизом, сертификацией или внешней проверкой, а также как регулярный сервис с согласованной периодичностью. В рамках подписки или отдельного контракта можно провести повторную проверку, чтобы подтвердить устранение найденных проблем.

Границы работ, технологический стек и объём проверяемого кода фиксируются в техническом задании. Такой формат позволяет компаниям получать внешнюю оценку защищённости разработки без необходимости полностью переносить эту нагрузку на собственные ИБ-ресурсы.

RSS: Новости на портале Anti-Malware.ru