НовостиСобытияКонференцииIT@Work
Безопасность:

Блог

Безопасная разработка ПО и разрабатываемый ГОСТ

Внедрение процессов безопасной разработки – благородная цель и стремиться к ней, конечно, надо. Поможет в этом и разрабатываемый ГОСТ, и уже существующие рекомендации регуляторов и производителей платформ, и многочисленные инструменты, реализующие эти процессы - от бесплатных до очень дорогих. Однако все усилия, которые сейчас прилагаются экспертным сообществом, напоминают советы филина, который рекомендовал мышкам стать ёжиками и не грузить его деталями: все понимают, что нынешняя ситуация с безопасностью в разработке заказных приложений плоха, все понимают, как должна выглядеть идеальная ситуация, но как перейти от первой ситуации ко второй, не знает никто. И драйвера перемен пока не видно.

Во-первых, много бизнес- и ведомственных приложений уже написано и работает безо всяких стандартов безопасной разработки, причем работает, принося пользу. На них потрачены деньги, в том числе и государственные, выкинуть их и начать с нуля писать новые, безопасные с тем же функционалом – безумное расточительство, особенно в кризис, и на это ни один заказчик не пойдёт.

Во-вторых, большинство бизнес- и ведомственных приложений – не законченные раз и навсегда конструкции, они «живые» - функционал постоянно дорабатывается под нужды бизнеса и реагируя на вновь появляющиеся требования регуляторов. Внедрять SDL в доработку, не внедряя его в основную разработку – невозможно.

В третьих, не секрет, что SDL сильно удорожает разработку, что еще можно как-то окупить на сокращении обращений в техподдержку при разработке тиражных решений. Однако эффективность инвестиций в SDL в “in-house” разработке, то есть внутренними силами для самого себя, доказать не просто.

Традиционный российский метод силового внедрения инноваций с помощью принципа «кнута и плётки», то есть «обязать и штрафовать», приведёт к тому, что такие требования будут восприниматься как налог, а налоги платить никто не любит, поэтому их всегда «оптимизируют». Пока люди, отвечающие за безопасность бизнес-приложений, не научатся быть полезными для бизнеса и разработчиков, безопасность придётся внедрять силой. Пока же, как мы видим, ставка делается на принцип «мы научим вас быть счастливыми".
Колесов Андрей
Интересно узнать: о каком ГОСТе идет речь и кто его разрабатывает? Что это за проект, где можно познакомиться с материалами проекта, сроками, авторами, текстами госта и пр?
Безручкин Игорь
Да, присодиняюсь - ссылку бы хотелось получить на сей "разрабатываемый ГОСТ".
Колесов Андрей
Да, а то получается, что мы обсуждаем какие-то процесса на "небесах" или на Марсе...