+7 (495) 925-7794
 
Главная / О компании / Новости / «Горести и радости» практического РБПО. Взгляд РБПО-сообщества ФСТЭК России и ИСП РАН

«Горести и радости» практического РБПО. Взгляд РБПО-сообщества ФСТЭК России и ИСП РАН

« Назад

«Горести и радости» практического РБПО. Взгляд РБПО-сообщества ФСТЭК России и ИСП РАН  21.03.2025 18:26

В этой публикации  своими знаниями и опытом решения практических задач делятся члены РБПО-сообщества, среди которых Алексей Смирнов, основатель CodeScoring. Алексей рассказывает, какие проблемы разработчиков помогает решить композиционный анализ ПО, который был поставлен в один ряд со статикой и динамикой в обновлённом стандарте по безопасной разработке (ГОСТ 56939-2024).
 

"Мы у себя в CodeScoring постоянно собираем и проверяем информацию про мировой Open Source. Эти данные нужны для защиты цепочки поставки и повышения точности композиционного анализа ПО. Собираем данные про сами компоненты (библиотеки) и их свойства, например: информация про уязвимости, патчи, эксплойты, а также данные о версиях, авторах компонентов, датах релизов и пр. Эти данные мы обрабатываем и зачастую узнаём много интересного, чем было бы полезно поделиться с сообществом. 

В частности, мы постоянно строим и анализируем SBoM от множества открытых проектов. SBoM — перечень компонентов ПО, в котором указываются их версии и дополнительная информация об уязвимостях и условиях использования (лицензиях). В России он называется ППК — перечень программных компонентов. 

Однажды сформировав для своего ПО такой перечень, возможно проводить его актуализацию и следить за тем, какие уязвимости были обнаружены уже после того, как вы включили сторонний компонент к себе «под капот». 

С одной стороны, формирование такого списка помогает более удобным образом следить за тем, сколько всего стороннего и с какими проблемами мы поставляем нашим заказчикам. С другой стороны, после выпуска даже самого «чистого» и безопасного продукта нет гарантии, что в сторонних компонентах со временем не обнаружатся новые проблемы. Поэтому ППК следует перестраивать (обогащать) и следить за новостями. 

Наши последние расчёты показали, что в среднем ПО без обновлений за один год накапливает 100 (сто!) новых уязвимостей, из которых 10–15 являются эксплуатируемыми. 

Отсюда следует логичный вывод, что, оценивая безопасность ПО, которое вы хотите использовать у себя, достаточно познакомиться с его динамикой релизного цикла. Если релизы раз в полгода, то есть над чем задуматься. 

Следить за подобными проблемами помогает понятие композиционного анализа, которое было поставлено в один ряд со статикой и динамикой в обновлённом стандарте по безопасной разработке (ГОСТ 56939-2024). Верим, что осознанность использования сторонних компонентов и практики безопасной работы с ними будут только усиливаться."