Репортаж от Wedoany，Шестой День безопасности разработки программного обеспечения состоялся 17 июня в Москве. Эта ежегодная практическая конференция, организованная Ассоциацией разработчиков программных продуктов России «Отечественный софт» (АРПП «Отечественный софт»), собрала более 100 руководителей IT-компаний, технических директоров, экспертов по AppSec, представителей регулирующих органов и представителей академического сообщества. Мероприятие прошло при поддержке российского разработчика решений по кибербезопасности UserGate и было посвящено таким темам, как применение искусственного интеллекта в разработке, безопасность компонентов с открытым исходным кодом, защита цепочек поставок программного обеспечения, практики DevSecOps и развитие процессов безопасной разработки.

Исполнительный директор АРПП «Отечественный софт» Ренат Лашин в своем выступлении отметил, что за время проведения конференции участие IT-компаний в ней выросло более чем в 10 раз. Отрасль переходит от обсуждения требований и стандартов к обмену опытом практического внедрения практик безопасной разработки. Цель ассоциации — стимулировать диалог между разработчиками, заказчиками, экспертами и регулирующими органами.

Сооснователь и директор UserGate Дмитрий Курашев заявил, что безопасность кода является основополагающим принципом его компании. UserGate планирует в ближайшее время завершить процедуру сертификации на соответствие стандартам безопасной разработки программного обеспечения, чтобы подтвердить зрелость внутренних процессов и безопасность своих решений.

Модератор конференции, руководитель комитета по информационной безопасности АРПП «Отечественный софт» и генеральный директор Axiom JDK Роман Карпов сообщил, что по итогам конференции ассоциация окажет поддержку по трем направлениям: внедрение практик в соответствии с требованиями Федеральной службы по техническому и экспортному контролю (ФСТЭК России), проведение аудита по ГОСТ 56939-2024 и подготовка документации для четвертого уровня доверия. Ассоциация планирует разработать целевую программу поддержки безопасной разработки, способствуя переходу компаний от заинтересованности к практическому внедрению.

На специальной сессии конференции обсуждались нормативные и методологические основы безопасной разработки. Советник Банка России Анастасия Сакулина рассказала, что раздел 7.4 новой версии профиля защиты приведен в соответствие с национальным стандартом по безопасной разработке, требования к жизненному циклу безопасной разработки стали более детализированными и проверяемыми. Банк России планирует дополнять требования по мере развития технологий.

Эксперт Института системного программирования Российской академии наук (ИСП РАН) Елена Соснина представила информационный ресурс РБПО.РФ, который объединяет методические материалы и нормативные документы по внедрению процессов безопасной разработки. Заказчики начинают включать требования о соответствии национальным стандартам в тендерную документацию, и организации сталкиваются с вопросами о том, как соответствовать этим требованиям и как это подтвердить.

Руководитель Центра исследований безопасности системного программного обеспечения ИСП РАН Алексей Хорошилов отметил, что для исследования безопасности заимствованных компонентов с открытым исходным кодом требуются специализированные методы, предусматривающие детализацию требований для конкретных технологических стеков и архитектурных компонентов, включая анализ поверхности атак, анализ зависимостей, статический анализ, динамическое тестирование, фаззинг-тестирование и использование санитайзеров. Универсальные методы не позволяют установить точные критерии для всех случаев применения, и отрасли необходимы более детальные специализированные подходы.

Представители ряда компаний поделились опытом внедрения безопасной разработки и использования инструментов. Технический директор ASTRA AI Сергей Нелюб рассказал об интеллектуальных системах генерации кода, инженер по безопасности приложений UserGate Фёдор Богословский — о расширении покрытия подсистем ядра Linux в syzkaller, а старший исследователь угроз GReAT «Лаборатории Касперского» Леонид Безвершенко проанализировал практики атак на цепочки поставок программного обеспечения и эксплуатации уязвимостей. Другие выступления были посвящены типичным ошибкам при сертификации безопасной разработки, созданию единого доверенного пространства, инструментам безопасной разработки на облачных Git-платформах, методам шифрования BYOK, конвейерам безопасной разработки ПО, применению ИИ в безопасной разработке, ASOC как отправной точке безопасной разработки и другим темам.

Конференция подтвердила растущий интерес отрасли к вопросам безопасной разработки и готовность компаний к практическому внедрению. АРПП «Отечественный софт» планирует провести следующий День безопасности разработки программного обеспечения в декабре 2026 года.

Технический партнер: «Truconf».

Информационные партнеры: «Cybermedia», журнал «Информационная безопасность», BIS Journal – Безопасность информационных систем, RUSSOFT, АПКИТ.

Ассоциация разработчиков программных продуктов России «Отечественный софт» — крупнейший в России союз производителей тиражируемого программного обеспечения. Ассоциация была основана российскими разработчиками в 2009 году, объединяет более 300 IT-компаний с общим оборотом 570 миллиардов рублей, что составляет 30% всего рынка тиражируемого ПО. За 17 лет ассоциация стала профессиональным центром формирования нормативно-правовой базы в области импортозамещения и площадкой для прямого диалога с государством.

Данный материал скомпилирован платформой Wedoany. При цитировании материалов, созданных с помощью искусственного интеллекта (ИИ), необходимо обязательно указывать источник — «Wedoany». В случае выявления нарушения прав или иных проблем просим своевременно информировать нас. Сайт оперативно внесёт изменения или удалит материал.Электронная почта: news@wedoany.com