Репортаж от Wedoany，Ведущие российские IT-компании совместно запустили инициативу «Единое доверенное пространство», направленную на создание системы сертификации для подписи отечественного программного кода. Эта система будет использоваться для выдачи сертификатов подписи кода российским разработчикам ПО, снижая зависимость отечественного софта от западных центров сертификации.

Подпись программного кода является ключевым механизмом безопасности при распространении и установке ПО. Она служит своего рода цифровой идентификационной меткой для программы, подтверждая, что ПО действительно происходит от соответствующего разработчика, и гарантируя, что код не был изменён после публикации. Если сертификат подписи кода становится недействительным или отзывается, пользователи могут получать предупреждения безопасности при установке или запуске программы, а в некоторых системных средах это может повлиять на распространение, обновление и нормальный запуск программы.

Данная инициатива продвигается рабочей группой «Единое доверенное пространство», в состав которой входят специалисты по российским операционным системам, информационной безопасности, криптографии и корпоративному ПО. Участие таких компаний, как RusBITech-Astra, SberTech, BaseALT, Open Mobile Platform, CryptoPro, InfoTeKS, Kaspersky, свидетельствует о том, что Россия переводит проблему подписи кода с уровня отдельных экстренных мер компаний на уровень отраслевого инфраструктурного строительства.

Основой этой системы является создание отраслевого технологического сертификационного центра, который будет предоставлять российским разработчикам отечественные сертификаты подписи кода. Соответствующие тестовые работы проводятся с ноября 2025 года между несколькими компаниями и командами разработчиков операционных систем. В процессы выдачи сертификатов, подписи ПО и кросс-верификации уже включились CryptoPro, InfoTeKS, Security Code, Kaspersky, SberTech, а также команды разработчиков операционных систем Astra Linux, Alt, RED OS, ROSA, Aurora и другие.

Реальным фоном этого проекта является то, что российская программная экосистема долгое время использовала сертификаты подписи кода, выданные западными центрами сертификации. Такие организации, как Sectigo и DigiCert, ранее прекратили выдачу или продление соответствующих сертификатов для российских компаний, а GlobalSign в июне этого года начала отзывать некоторые сертификаты безопасности российских сайтов. Хотя сертификаты для сайтов и сертификаты подписи кода относятся к разным сценариям, подобные инциденты усилили обеспокоенность российской IT-отрасли по поводу разрыва внешних доверительных систем.

Для российских софтверных компаний значение единой системы сертификации кода выходит далеко за рамки простой «смены источника сертификатов». Если отечественное ПО не будет иметь механизма подписи, признаваемого операционными системами и клиентами, это повлияет на распространение обновлений, корпоративное развёртывание, установку на конечных устройствах и проверку безопасности. Особенно в государственном секторе, финансах, энергетике, транспорте и промышленности, где предъявляются высокие требования к безопасности цепочек поставок ПО, проверяемость источника кода, отслеживаемость пакетов обновлений и контролируемость статуса сертификатов являются базовыми условиями для поставки программного обеспечения.

«Единое доверенное пространство» призвано решить проблему корневого доверия в российской программной экосистеме. Только когда операционные системы, разработчики, корпоративные клиенты и продукты безопасности совместно признают одну и ту же цепочку сертификатов, подпись кода будет иметь реальную силу. В противном случае, даже если сертификационный центр сможет выдавать сертификаты, могут возникнуть проблемы совместимости с конечными системами, магазинами приложений, корпоративными политиками безопасности и процессами установки на стороне пользователя.

Эта инициатива также отражает тот факт, что безопасность цепочек поставок ПО становится частью национальной цифровой инфраструктуры. Раньше подпись кода чаще рассматривалась как технический этап в процессе публикации ПО; после ограничения доступа к внешним сертификационным услугам она стала влиять на то, сможет ли ПО стабильно поставляться, непрерывно обновляться и быть доверенным устройствами пользователей. Продвигая отечественную систему сертификации подписи кода, Россия фактически создаёт для софтверной индустрии цепочку доверия, не зависящую от внешних центров сертификации.

На пути от тестового запуска к массовому внедрению ещё предстоит решить такие вопросы, как внедрение корневых сертификатов, адаптация операционных систем, механизмы отзыва сертификатов, процесс подключения разработчиков, признание корпоративными клиентами и кроссплатформенная совместимость. Для российской IT-отрасли настоящая сложность заключается не в выдаче первых сертификатов, а в том, чтобы эта система доверия была стабильно принята большим количеством ПО, конечных устройств и корпоративных сред развёртывания. Только после завершения этого этапа «Единое доверенное пространство» превратится из отраслевой инициативы в инфраструктуру программной экосистемы.

Данный материал скомпилирован платформой Wedoany. При цитировании материалов, созданных с помощью искусственного интеллекта (ИИ), необходимо обязательно указывать источник — «Wedoany». В случае выявления нарушения прав или иных проблем просим своевременно информировать нас. Сайт оперативно внесёт изменения или удалит материал.Электронная почта: news@wedoany.com