Журнал "Information Security/ Информационная безопасность" #3, 2023

Каждая компания, кото- рая занимается созданием информационных техноло- гий, должна вкладывать ресурсы в безопасную раз- работку – без этого невоз- можно сохранить конкурен- тоспособность. Вначале лучшие практики безопасной разработки приме- нялись к специализированным решениям: средствам защиты информации, критической инфраструктуре. Однако в последние годы возникла гло- бальная тенденция применять их и в других отраслях. Напри- мер, в 2021 г. Европейское кос- мическое агентство предложило стандарт для аэрокосмической отрасли, где указано, что без процесса безопасной разработ- ки создание программ невоз- можно, и ключевыми техноло- гиями названы инструменты статического анализа и фаз- зинга с символьным выполне- нием. В России в июне 2023 г. была принята Концепция Националь- ной технологической инициати- вы (НТИ) "Сейфнет", согласно которой создание программ для любых рынков НТИ должно соответствовать лучшим прак- тикам и стандартам разработки безопасного ПО. Все это пока- зывает, что каждая компания, которая занимается созданием информационных технологий, должна вкладывать ресурсы в безопасную разработку – без этого невозможно сохранить конкурентоспособность. Чтобы создавать безопасное ПО, в первую очередь необхо- димы ключевые системные инструменты сборки, анализа и тестирования, обеспечиваю- щие весь жизненный цикл раз- работки. И они в нашей стране есть. По сути, Россия сейчас – единственная страна, кроме США, где существует стек кон- курентоспособных технологий безопасной разработки. Осталь- ные страны используют, как правило, американские инстру- менты (например, технологии анализа кода Synopsis Coverity, Perforce Klocwork и др.). В Рос- сии удалось развить это нау- коемкое направление благода- ря наличию серьезных научных школ, ведь создание инстру- ментов анализа требует не столько больших ресурсов, сколько глубоких знаний в таких областях системного програм- мирования, как компиляторные технологии, верификация про- грамм и др. Например, в нашем институте первые исследования и разработки в этой новой научной области появились еще в 2002 г. в рамках совместной работы с компанией Nortel Net- works. За минувшие годы мы про- шли путь от идей и фундамен- тальных исследований до про- дуктов и создали полный стек технологий безопасной разра- ботки, конкурентоспособных на мировом уровне, – от безопас- ного компилятора для С и С++ до технологий анализа бинар- ного кода. В настоящее время наши инструменты внедрены как в ведущих мировых компа- 46 • СПЕЦПРОЕКТ Кибербезопасность как основа долгосрочного развития ИТ дно из ключевых направлений обеспечения кибербезопасности в современном мире связано с созданием и внедрением технологий безопасной разработки (Secure Development Life- cycle, SDL), которые повышают качество программ на всех этапах, от дизайна до эксплуатации. Исторически во всем мире это направление развивалось и развивается под воздействием регуляторики. У нас в стране вопросами правового регулирования данной области занимается, в частности, ФСТЭК России, где создан специальный подкомитет по формированию требований к разработке безопасного программного обеспечения (ПО). О Арутюн Аветисян, директор Института системного программирования им. В.П. Иванникова Российской академии наук (ИСП РАН), академик РАН