Bbabo NET

Wissenschaft & Technologie Nachrichten

FSTEC für 870 Millionen Rubel wird eine vertrauenswürdige Softwareentwicklungsumgebung und Infrastruktur zum Testen einheimischer Betriebssystemverteilungen schaffen

Laut der Veröffentlichung von Kommersant hat der Föderale Dienst für technische und Exportkontrolle (FSTEC) zwei Ausschreibungen auf dem Portal für öffentliche Beschaffung veröffentlicht - für die Schaffung einer einheitlichen Umgebung für die sichere Entwicklung von inländischer Software für 510 Millionen Rubel und die Schaffung von Infrastruktur für eine systematische Untersuchung der Sicherheit kritischer Komponenten, die die Grundlage russischer Distributionskits für OS und anderer Programme für 360 Millionen Rubel bilden.

Diese Projekte müssen nach ihrer Erstellung und Umsetzung Ende 2024 von russischen Entwicklern bei der Erstellung von Software für kritische Informationsinfrastruktureinrichtungen (staatliche Strukturen, Finanzsektor, Energie-, Öl- und Gassektor, Transport) verwendet werden.

Die Experten der Veröffentlichung erklärten, dass es jetzt keine einzige heimische vertrauenswürdige Umgebung für die Softwareentwicklung gibt. Das will FSTEC schaffen, um zunächst das Vorgehen von Entwicklern zu überprüfen und alle Versuche zu blockieren, versehentlich oder absichtlich Lesezeichen (Backdoors) oder Schwachstellen in Programmen zu hinterlassen. Dies erhöht das Sicherheitsniveau von inländischer Software, schränkt jedoch die Fähigkeiten von Drittentwicklern ein, die zuvor ihre eigenen Produkte durch ihre eigenen Debugging-, Test- und Verifizierungssysteme erstellt und getestet haben.

Das Ministerium für digitale Entwicklung erklärte den Veröffentlichungen, dass in Russland mehrere Unternehmen vertrauenswürdige Entwicklungsumgebungen haben, die anderen Entwicklern keinen Zugriff darauf gewähren. Nach Angaben der Abteilung wird die Schaffung einer einheitlichen Umgebung für die sichere Entwicklung allen Drittentwicklern die uneingeschränkte Nutzung ermöglichen.

Das Ministerium für digitale Entwicklung stellte klar, dass die Verwendung einer solchen vertrauenswürdigen Umgebung die Anzahl der Schwachstellen im Quellcode verringern wird, was sich auf das allgemeine Sicherheitsniveau von inländischen Softwareprodukten und Informationssystemen auswirken wird. Auch wird es Entwicklern, die diese Umgebung nutzen, leichter fallen, bei der Prüfung ihrer neuen Programme durch den FSTEC ein positives Fazit zu ziehen.

Marktexperten erklärten der Veröffentlichung, dass es sich nicht um eine vollwertige vertrauenswürdige Umgebung für die Softwareentwicklung handeln werde, sondern um ihre Pilotversion. Ihrer Meinung nach müssen Sie zur Fertigstellung und Schaffung einer vollwertigen Infrastruktur eine Größenordnung mehr Geld und Ressourcen von mehreren Künstlern ausgeben, die mehr Zeit für die Entwicklung benötigen.

Gemäß den TOR des Projekts für eine vertrauenswürdige Umgebung muss der Auftragnehmer bis Dezember 2024 eine einheitliche Umgebung für die Entwicklung sicherer häuslicher Software schaffen, die die Lösung der folgenden Aufgaben gewährleistet:

Einführung integrierter Technologien für die Entwicklung sicherer Software in inländischen Softwareentwicklungsorganisationen;

Bereitstellung eines einheitlichen Satzes von Tools für inländische Entwickler zur Entwicklung sicherer Software, einschließlich integrierter Entwicklungstools, kontinuierlicher Integrations- und Freigabetools, sicherer Compiler, plattformübergreifender Entwicklungstools, Einheitentest-Entwicklungs- und -Ausführungstools, statischen Analysetools, Fuzzing-Testtools, einschließlich Tools zur Bestimmung der Angriffsfläche, Tools zur Erkennung von Informationslecks im Speicher basierend auf einer dynamischen Analyse des gesamten Systems von markierten Daten;

Bereitstellung methodischer und technischer Unterstützung für russische Organisationen bei der Implementierung und Wartung des Lebenszyklus sicherer Software;

eine Reihe von Tools zur Gewährleistung der Entwicklung sicherer Software muss C, C++, Java unterstützen;

Eine Reihe von Tools zur Gewährleistung der Entwicklung sicherer Software sollte die Entwicklung von Programmen für die Basisarchitektur von x86-64-Desktopcomputern und -Servern und die Basisarchitektur von ARMv8-Mobilgeräten sowie fortschrittliche Prozessorarchitekturen unterstützen, die technologische Unabhängigkeit gewährleisten: RISC -V, Baikal, Elbrus.

Gemäß den TOR des Projekts für die Infrastruktur zum Testen von inländischen OS-Distributionen muss der Auftragnehmer technische, methodische und organisatorische Elemente der Infrastruktur für die Softwareforschung schaffen, um die Lösung der folgenden Aufgaben sicherzustellen:

Testen kritischer Open-Source-Komponenten, die für russische Distributionen von Betriebssystemen und anderer Software verwendet werden, einschließlich Architekturanalyse, statische Analyse des Quellcodes, Fuzzing-Tests, System- und Einheitentests und dynamische Gesamtsystemanalyse von markierten Daten;

Entwicklung von Fixes, die Schwachstellen in kritischen Komponenten beseitigen, die bei der Entwicklung russischer Distributionen von Betriebssystemen und anderer Software verwendet werden, und Bereitstellung dieser Fixes für Softwareentwickler;

Bildung von inländischen Repositories für kritische Komponenten mit eigenen Zweigen für diese Komponenten, einschließlich der entwickelten Fixes, und Gewährleistung der Sicherheitsunterstützung dieser Zweige bei ständiger Synchronisierung mit den wichtigsten internationalen Versionen dieser Komponenten;Bildung der Kompetenz von Spezialisten in Fragen der Sicherheitsforschung kritischer Komponenten, die als Grundlage für russische Distributionen von Betriebssystemen und anderer Software verwendet werden;

Entwicklung von Empfehlungen zur Umsetzung von Maßnahmen zur sicheren Entwicklung heimischer Softwaretools unter Verwendung kritischer Open-Source-Komponenten;

Organisation der Interaktion zwischen Entwicklern von inländischer Software in Fragen der Gewährleistung einer sicheren Entwicklung unter Verwendung ihrer eigenen sicheren Zweige kritischer Komponenten mit offenem Quellcode;

Füllen der Datenbank der Informationssicherheitsbedrohungen des FSTEC of Russia mit Informationen über die Schwachstellen kritischer Komponenten, die für russische Distributionen von Betriebssystemen und anderer Software verwendet werden.

Anfang Februar berichteten die Medien, dass das Ministerium für digitale Transformation im Mai dieses Jahres mit einem Experiment beginnen würde, um ein russisches Analogon von Github zu erstellen. Es werden Softwareprodukte unter einer offenen Lizenz vorgestellt, die aus Haushaltsmitteln erstellt wurden, zum Beispiel Quellcodes und Programme, die für das Ministerium für digitale Entwicklung, das Innenministerium, Rosreestr, die Pensionskasse und andere Regierungsbehörden erstellt wurden. Russische Entwickler und Unternehmen können dort auf freiwilliger Basis ihre Programme veröffentlichen, der Zugriff auf das nationale Repository soll allen natürlichen und juristischen Personen "ohne Beschränkungen aus nationalen, territorialen und sonstigen Gründen" ermöglicht werden.

FSTEC für 870 Millionen Rubel wird eine vertrauenswürdige Softwareentwicklungsumgebung und Infrastruktur zum Testen einheimischer Betriebssystemverteilungen schaffen