Российские разработчики программного обеспечения регулярно нарушают требования ФСТЭК по срокам устранения уязвимостей в своих продуктах, что демонстрирует недостаточную эффективность поддержки ПО. Об этом пишет "Коммерсантъ".
Согласно требованиям регламента, при поступлении информации о потенциальной уязвимости в ПО, вендор должен устранить ее в течение 30 или 60 дней в зависимости от уровня угрозы. Техподдержка разработчиков ПО, отметили во ФСТЭК, должна мгновенно реагировать на требования заказчиков. Однако участились ситуации, когда обратной связи по средствам защиты недостаточно.
По словам экспертов, нарушая требования ведомства компании рискуют лишиться сертификата у определенного ПО, вследствие чего они не смогут поставлять его госзаказчикам, которые требуют сертифицированный софт.
Игроки на рынке отмечают, что российские разработчики устраняют проблемы в софте вдвое дольше, чем зарубежные в связи с возросшим спросом на отечественные продукты и ростом нагрузки на специалистов техподдержки.
Увеличение сроков также связано с тем, что большая доля сертифицированного российского ПО основана на открытом коде, устранением уязвимостей в котором занимается не конкретный разработчик, а сообщество, добавляет глава комитета по информбезопасности ассоциации "Отечественный софт" Роман Карпов. Таким образом, решение задачи оттягивается из-за зависимости компаний от сторонних разработчиков.
Существуют также риски внедрения в открытый код недобросовестными участниками вредоносного кода, поэтому перед выпуском ПО разработчики перепроверяют каждое обновление, отмечают специалисты отрасли.
Напомним, как ранее писал "Кабельщик", Минцифры планирует запустить программу bug bounty до конца года. Механизм работы программы подразумевает поиск белыми хакерами уязвимостей за вознаграждение.
- Войдите или зарегистрируйтесь, чтобы оставлять комментарии