Уровень проникновения РБПО за 5 лет вырос почти на порядок

Яков Шпунт 11 Декабря 2025 - 10:23

Общее

Средства защиты веб-сайтов (приложений)

Управление процессами безопасной разработки (ASOC)

Безопасная разработка приложений (DevSecOps)

Импортозамещение

...

Уровень проникновения РБПО за 5 лет вырос почти на порядок

По данным организаторов конференции «День безопасной разработки ПО», которая проходит уже в пятый раз, за время существования форума уровень внедрения технологий разработки безопасного ПО (РБПО) вырос почти на порядок — как минимум в пять раз.

В приветственном слове на открытии мероприятия исполнительный директор Ассоциации разработчиков программных продуктов (АРПП) «Отечественный софт» Ренат Лашин отметил, что пять лет назад практики безопасной разработки использовали лишь немногие компании, тогда как к 2025 году их число существенно увеличилось.

При этом выросло не только количество организаций, внедряющих РБПО, но и глубина применения этих технологий у тех, кто начал трансформацию раньше.

Директор Института системного программирования РАН Арутюн Аветисян назвал расширение практики РБПО общей заслугой бизнеса, научного сообщества и государства в лице регуляторов. По его словам, сегодня к безопасной разработке приходят даже небольшие компании, тогда как ранее подобные практики были характерны прежде всего для крупных игроков.

Модератор конференции, руководитель комитета по информационной безопасности АРПП «Отечественный софт», директор по стратегии и развитию технологий Axiom JDK Роман Карпов оценил уровень проникновения технологий РБПО примерно в 20% — именно столько компаний используют этот подход полноценно. Однако в сегментах разработки ИБ-инструментов и системного ПО этот показатель близок к 100%, что во многом связано с регуляторными требованиями.

В то же время уровень сертификации процессов разработки остаётся невысоким. По неофициальным данным, озвученным в кулуарах форума, ФСТЭК отклоняет примерно половину заявок из тех, что уже успела рассмотреть. Представители регулятора ранее подчёркивали, что оценка соответствия будет строгой.

Следующая главная новость »

Коммерческие и гибридные SOC: что выбрать бизнесу в 2026 году?
Регистрируйтесь на эфир!

Екатерина Быстрова 10 Апреля 2026 - 16:09

Windows Домашние пользователи Google

В Google Chrome усложнили кражу cookie — новая защита от угона сессий

Google перевела функцию Device Bound Session Credentials (DBSC) в общую доступность для пользователей Chrome на Windows. Теперь эта защита работает в Chrome 146 и должна заметно осложнить жизнь тем, кто крадёт сессионные cookies, чтобы потом входить в чужие аккаунты без пароля.

Принцип работы DBSC кроется в том, что браузер не просто хранит cookie, а криптографически привязывает сессию к конкретному устройству.

Даже если зловред украдёт cookie из браузера, использовать их на другой машине будет уже гораздо труднее — по сути, они быстро потеряют ценность для атакующего.

Особенно актуально это на фоне популярности так называемых инфостилеров. Такие вредоносные программы собирают с заражённых устройств всё подряд: пароли, данные автозаполнения, токены и, конечно, cookie. Этого бывает достаточно, чтобы злоумышленник зашёл в учётную запись жертвы, даже не зная её пароль. Потом такие данные нередко перепродают другим участникам киберпреступного рынка.

DBSC должна ломать именно такой сценарий. На Windows технология опирается на Trusted Platform Module, а на macOS — на Secure Enclave. С их помощью создаётся уникальная пара ключей, причём закрытый ключ не покидает устройство. Когда сайту нужно выдать новую короткоживущую cookie, Chrome должен доказать, что у него есть нужный закрытый ключ. Если ключ не на том устройстве, схема просто не срабатывает.

При этом Google подчёркивает, что технология задумана с упором на конфиденциальность. По данным компании, DBSC не должна превращаться в новый механизм слежки: сайт получает только тот минимум данных, который нужен для подтверждения владения ключом, без передачи постоянных идентификаторов устройства или дополнительных данных аттестации.

Есть и важная оговорка: если устройство не поддерживает безопасное хранение ключей, Chrome не ломает аутентификацию и просто откатывается к обычной схеме работы. То есть пользователи не должны столкнуться с внезапными сбоями входа только потому, что их железо не подходит под новую модель защиты.

Пока публичный запуск ограничен Windows-пользователями Chrome 146, но Google уже подтвердила, что поддержку macOS добавят в одном из следующих релизов. Компания также заявила, что после начала внедрения DBSC уже заметила заметное снижение случаев кражи сессий.

Коммерческие и гибридные SOC: что выбрать бизнесу в 2026 году?
Регистрируйтесь на эфир!