Главная / О компании / Наше мнение

Наше мнение

Open Source – в гражданский оборот
С 1 ноября в России стартовал эксперимент по предоставлению права использования программ на условиях открытой лицензии и созданию условий для применения открытого ПО (Open Source). Ранее правительство РФ приняло соответствующее постановление. Документ, в a6d5a35d25a9592af58a6e41dd032-fit-265x265-0 частности, предусматривает создание национального репозитория ПО с открытым кодом и размещение в нем софта, созданного в том числе за бюджетные средства, для переиспользования в других проектах. RSpectr собрал мнения представителей IT-отрасли об эксперименте и о том, как привлечь команды разработчиков в российский репозиторий.
 
Основатель компании CodeScoring Алексей Смирнов в разговоре с RSpectr также высказал свои опасения: «В противном случае нас ждет мина замедленного действия, когда все наоткрывают свои наработки, а потом аналитики безопасности найдут в них множественные уязвимости, которые придется исправлять довольно срочным темпом, пока под атаку не встали государственные системы, разработанные с применением таких решений».
 
В рамках эксперимента IT-бизнес должен не только воспринять культуру разработки и переиспользования сторонних компонентов, но и должна быть продемонстрирована способность создавать качественные и безопасные открытые компоненты, добавил эксперт.
 
0
12
DevSecOps стремится к полному циклу
Рос­сий­ские раз­ра­бот­чи­ки в бли­жай­шей пер­спек­ти­ве пред­ло­жат рын­ку пол­но­цен­ную эко­сис­те­му про­дук­тов DevSecOps. Она при­дет на сме­ну от­дель­ным про­дук­там, ко­торые ре­шают час­тные за­дачи бе­зопас­ной раз­ра­бот­ки. a6d5a35d25a9592af58a6e41dd032-fit-265x265-0
 
По прогнозам ООО "Свордфиш Секьюрити", проникновение технологий DevSecOps по итогам текущего года должно составить около 30%. По данным опроса, проведенного АО "Позитив Текнолоджиз" в сентябре 2021 г., уже тогда 36% принявших в нем участие заявили об  использовании этих инструментов. По данным исследования Центра стратегических разработок, общий объем рынка средств защиты приложений, куда входят инструменты DevSecOps, составил по итогам 2021 г. 11 млрд руб. По прогнозам, к 2026 г. объем данного технологического сегмента вырастет до 49 млрд руб., среднегодовые темпы роста составят 34%.
Основатель ООО "Профископ" (CodeScoring) Алексей Смирнов назвал самой сложной фазой проекта внедрения DevSecOps его начало. Поэтому, по его мнению, для развития рынка необходимо выстроить обмен лучшими практиками. Именно это и формирует рынок.
За текущий год рынок DevSecOps в России существенно перестроился. Это связано с уходом зарубежных вендоров, которые доминировали на нем. Так, из пяти вендоров, которые, по данным исследования Центра стратегических разработок, занимали ведущую роль в технологическом сегменте защиты приложений, куда входят средства DevSecOps и инструменты защиты от DDoS-атак, три - IBM, MicroFocus и F5 были международными компаниями. Другим вызовом стал отток кадров, однако, по мнению Евгения Тодышева, данная проблема сильно преувеличена.
 
0
32
Российская открытая лицензия получила воплощение
В России начинается эксперимент по созданию национального репозитория открытого кода. При этом постановление правительства, согласно которому данный эксперимент проводится, содержит текст a6d5a35d25a9592af58a6e41dd032-fit-265x265-0 российской открытой лицензии, на условиях которой программное обеспечение будут публиковать государственные органы и корпорации. И в целом одной из задач данного эксперимента является формирование нормативной базы.
 
Вместе с тем, как напоминает генеральный директор АО "ИВК" Григорий Сизоненко, есть прецедент, когда так называемая оберточная лицензия одобрена юристами Free Software Foundation с одной стороны и российскими Минэкономразвития и Минцифры, причем в довольно короткие сроки, - с другой. Суть оберточной лицензии состоит в том, что дистрибутив Alt - это не программа, а сборник, который содержит большое количество компонентов под разными лицензиями, описано, какие именно права на использование и модификацию каждого конкретного компонента предоставлены пользователю, оговариваются условия использования дистрибутива в целом.
 
"Получившаяся открытая лицензия не совсем про свободное программное обеспечение (СПО), а скорее именно про открытое. Поэтому куда важнее будет признание организацией Open Source Initiative (OSI) и включение в общепризнанный перечень лицензий. В первом рассмотрении ГОЛ является совместимой с большей частью лицензий, относящихся к Разрешительной (Permissive) и Копилефтной (Copyleft) группам. Но это поверхностный и ручной анализ. Российскому сообществу сейчас нужна простая таблица по совместимости ГОЛ с основными open-source-лицензиями, такими как Apache 2.0, MIT, MPL 2.0 и др., составленная авторами самой лицензии. Если говорить о проведении полноценной работы по лицензиям, то мы у себя в Лаборатории CodeScoring насчитываем почти 2000 типов открытых лицензий и понимаем, что провести проверку на лицензионную совместимость с ними всеми - это большая работа, которую еще предстоит провести", - предупреждает Алексей Смирнов.
 
0
20
DevSecOps: как российским компаниям выстроить процессы безопасной разработки
DevSecOps: как российским компаниям выстроить процессы безопасной разработки
Развитие DevSecOps – один из главных трендов в современной ИТ-разработке. Понятие объединяет подходы, инструменты и технологии, позволяющие с первых дней работы над продуктом защитить его от взлома и утечек данных. Журналист портала Cyber Media обсудил с экспертами рынка, как выстраивается DevSecOps и что нужно для быстрого получения результатов.
 
Cyber Media: Как выглядит дорожная карта внедрения DevSecOps?
 
Алексей Смирнов, CodeScoring
 
При правильно выстроенных процессах разработки, добавление звена Sec не должно a6d5a35d25a9592af58a6e41dd032-fit-265x265-0 вызывать критичных проблем, а начать можно с защиты от уязвимостей артефактов, попадающих в контур разработки, в частности, применив SCA-firewall. Далее, можно погружаться в анализ всего исходного кода и обеспечения безопасности сборок целиком.
 
Период раскачки, конечно же, есть, но он разный для разных инструментов, все инструменты на разной глубине погружения в процессы анализа дают требуемые результаты, а самый быстрый бизнес-эффект дает SCA (software composition analysis) для анализа open source.
 
Причины самые банальные – компоненты с открытым кодом составляют подавляющее большинство в программных проектах, уязвимости в них публично известны, а «мамкины хакеры» и боты в первую очередь атакуют по известным уязвимостям, для которых существуют эксплойты и инструкции по эксплуатации в открытом доступе.
 
В целом, грамотно выстроить DevSecOps безусловно трудно, синхронизировать все процессы, отладить политики и инструменты, но главное – сформировать команду и культуру.
 
0
56
Выгодное приложение: разработчиков ждут льготы в российских магазинах ПО
Выгодное приложение: разработчиков ждут льготы в российских магазинах ПО
Опрошенные «Известиями» специалисты полагают, что отечественным магазинам приложений понадобится некоторое время для привлечения разработчиков.
 
Как заметила эксперт компании Web Control Дарья Орешкина, пока непонятно, как в нынешней ситуацииd.-oreshkina-jorg-953-362x360.png  оценивать успех магазина приложений: по количеству программ, по качеству представленных наиболее популярных продуктов или как-то еще. По ее мнению, в первую очередь стоит сосредоточиться на важных и популярных типах софта и именно в этом сегменте представить наилучшие предложения.
 
— Не так много времени нужно, чтобы успеть создать нечто новое и современное в области программного обеспечения, нужно только всерьез за это взяться, — подчеркнула Дарья Орешкина.
 
0
109
Сквозные технологии реанимируют
Сквозные технологии реанимируют
Пра­витель­ство по­ручи­ло Мин­цифры к 1 июня 2022 г. раз­ра­ботать но­вый под­ход к "сквоз­ным тех­но­логиям". 
 
Эксперт по решениям контроля и управления привилегированным доступом компании Web Control Николай Валаев считает, что срок до 1 июня - недостаточен, чтобы приспособить существующие наработки к сегодняшним реалиям жесткого противостояния. "Если говорить вообще об этих направлениях - очень важно их развивать и обязательно с государственным участием и под государственным контролем, с привлечением в том числе академических институтов и независимых исследовательских организаций. При этом надо внимательно смотреть на опыт американских иВалаев Николай китайских товарищей как с организационной, так и с технологической точки зрения, дабы не повторить разорительную военно-космическую гонку последних лет Советского Союза, когда, считай, вся страна работала на программу "Буран". Просто финансированием такие задачи решить не получится. Невозможно на пустом месте построить работающие технологии, просто потратив денег. Также было бы ошибкой конкурировать технологиями с оставшимся миром. Мы с нашим работоспособным населением чуть более 70 млн человек просто не вытянем такую гонку. Поэтому нужно, несмотря на попытки изолировать нашу страну, развивать горизонтальные связи в наукоемких направлениях, не стесняться и, подобно нашим партнерам, организовывать "переток мозгов" в нашем направлении, оперативным способом заимствовать наработки, не считаясь с авторскими правами", - уверен Николай Валаев.
 
0
95
Сливы общества: IT-компании заявили об утечке данных бизнес-школы «Сколково»
Сливы общества: IT-компании заявили об утечке данных бизнес-школы «Сколково»
В Сети появилась база данных студентов и сотрудников бизнес-школы «Сколково», сообщили «Известиям» в компании DLBI. По словам специалистов, речь идет о 420 тыс. уникальных записей. Об утечке также знают в компаниях T.Hunter и InfoSecurity a Softline Company. В базе содержатся ФИО обучающихся, номера телефонов, места работы и должности, а также хешированные пароли для входа вВалаев Николай систему, сообщили специалисты. При этом лишь 93 записи содержат сведения о сотрудниках школы. По словам экспертов, средствам россиян ничего не грозит, но злоумышленники могут использовать сведения для обмана граждан и фишинга.
 
До 90% взломов происходит при использовании учетных записей администраторов или других сотрудников с привилегиями. Поэтому стоит обращать особое внимание на сложность и на частоту смены паролей, предупредил эксперт по решениям контроля и управления привилегированным доступом компании Web Control Николай Валаев.
 
0
112
Защити себя сам: бизнесу придётся увеличить траты на безопасность
Защити себя сам: бизнесу придётся увеличить траты на безопасность
Российский бизнес, потеряв доступ к иностранному софту, вынужден пересматривать подход кd.-oreshkina-jorg-953-362x360.png информационной безопасности.
 
Тем не менее многие эксперты настроены достаточно оптимистично. 
 
Директор по развитию бизнеса Web Control Дарья Орешкина согласна, что потенциал для создания успешных систем ИБ у российских компаний есть. Но предупреждает, что вопрос стоит не о нескольких десятках средств защиты, а о гораздо больших объёмах и о коротких сроках выпуска. Смогут ли отечественные разработчики с этим справиться, мы скоро увидим.
 
0
84
Отечественный софт стонет под окнами
Отечественный софт стонет под окнами
Три чет­верти рос­сий­ских прог­рам­мных про­дук­тов из Реес­тра оте­чес­твен­но­го ПО до сих пор ра­ботают толь­ко под опе­рацион­ной сис­те­мой (ОС) Windows. При этом из-за ухо­да с рос­сий­ско­го рын­ка клю­чевых за­рубеж­ных ИТ-вен­до­ров спрос на ин­тегра­цию рос­сий­ско­го ПО с оте­чес­твен­ны­ми ОС рез­ко вы­рос.
 
Эксперт по решениям контроля и управления привилегированным доступом компании Web Control Валаев Николай Николай Валаев сообщил, что в карте развития продукта компании уже стояли меры по получению технологической независимости от импортного программного обеспечения. "Наша система организации и контроля привилегированного доступа к критическим активам является одним из ключевых инструментов администрирования. Оснастка и инструменты администраторов должны соответствовать экосистеме ландшафта заказчика и быть в том числе совместимыми с технологиями также и Windows. Однако после массированного ухода иностранных вендоров приоритет по уходу от ОС Microsoft был поднят до высшего, и зависимость от технологий Microsoft мы надеемся преодолеть в ближайшее время", - заявил он.
 
0
99
Новая ИБ-реальность
Новая ИБ-реальность
Какие изменения претерпела отрасль ИБ из-за ухода зарубежных игроков: нарушения цепочек поставок и прочие проблемы?
 
Орешкина Дарья, Директор по развитию бизнеса, Web Control:
 
d.-oreshkina-jorg-953-362x360.png «С уходом зарубежных вендоров, их решения перестали стоять на страже безопасности российских компаний. Какое-то ПО уже есть на замену на рынке, но многое заказчики предпочитают писать самостоятельно или делать на заказ. И тут возникает дилемма – с одной стороны, не хочется опять зависеть от сторонних производителей, в том числе открытого кода, с другой стороны, хочется сократить издержки и ускорить релиз, использовать уже готовый открытый код, но с большой осторожностью. Мы сейчас наблюдаем высокую активность, связанную с построением DevSecOps в компаниях, в том числе для разработки собственных безопасных решений для информационной безопасности».
 
0
79
Код в доступе: на российских заводах массово игнорируют кибербезопасность
Код в доступе: на российских заводах массово игнорируют кибербезопасность
Около 78% российских промышленных и топливно-энергетических компаний не уделяют должного внимания установке надежных паролей в своих компьютерных сетях, в том числе отвечающих непосредственно за производство. Такие данные «Известиям» предоставили в компании Positive Technologies по итогам мониторинга систем компьютерной безопасности на ведущих промышленных предприятиях страны.
 
Валаев Николай
Можно скрывать пароли доступа целевых устройств от администраторов. Для этого существует класс решений контроля привилегированного доступа — PAM (Privilege Access Management). Он берет на себя соблюдение политики безопасности — генерирует сложные уникальные пароли, меняет их, хранит, не показывая пользователю, резюмировал эксперт по решениям контроля и управления привилегированным доступом компании Web Control Николай Валаев.
 
0
134
Продуктоцентричный
Продуктоцентричный
КАКИЕ IT-РЕШЕНИЯ БУДУТ НАИБОЛЕЕ ВОСТРЕБОВАННЫМИ В 2022 ГОДУ?
685876 Андрей Акинин, основатель и генеральный директор Web Control:
 
Следующие пару лет пройдут под флагом Agile-трансформации, перехода от стихийного Agile к профессиональному, перехода от цифрового бизнеса к Business Agility, распространения гибких динамичных подходов современной разработки на весь бизнес.
 
У каждого свой путь: кто-то будет пытаться это делать, как раньше, используя простейшие инструменты (таблицы, online-доски, планировщики задач), кто-то будет автоматизировать отдельные направления разработки (Jira с плагинами, Agile planning, инструменты DevOps), а кто-то автоматизировать весь процесс создания продукта от идеи до развертывания и поддержки, используя инструменты сквозного управления разработкой — VSM, Value Stream Management. Все зависит от зрелости IT и смелости команд.
 
0
181