Проблема узязвимостей в иностранном программном обеспечении (ПО) не нова. Сейчас если софт разрабатывала иностранная компания, то она в любой момент может его "подправить". В минцифры разделяют эти опасения, поэтому и сделан упор на собственные разработки: "Внедрение принципов безопасной разработки обоснованно, оно призвано снизить количество уязвимостей в исходном коде".
С 2018 года регулятор в лице ФСТЭК стал уделять пристальное внимание не только продуктам, но и сложившейся у вендоров системе разработки и тестирования программного обеспечения, отмечает заместитель генерального директора ГК Astra Linux Юрий Соснин. По его словам, создание универсальной среды объясняется необходимостью предоставления любому разработчику возможности получить машино-часы на тестирование и другие операции, связанные с созданием продуктов. И избавить его от того, чтобы на старте вкладывать время и деньги в формирование инфраструктуры.
Еще одной проблемой является то, что существующие практики безопасной разработки ПО относятся только к средствам защиты информации и прикладному ПО со встроенными механизмами безопасности, говорит директор по безопасности "МойОфис" Александр Буравцов.
В январе стало известно о вредоносном коде в модулях 1С, который встраивался в софт во время доработки модулей. Ранее появлялись публикации в СМИ об уязвимости ОС Linux, активно используемой в банках и в госсекторе.