НовостиСобытияКонференцииФорумыIT@Work
Безопасность:

Блог

Безопасная разработка ПО и разрабатываемый ГОСТ

Рустэм Хайретдинов
06.07.2015 12:01:46

Внедрение процессов безопасной разработки – благородная цель и стремиться к ней, конечно, надо. Поможет в этом и разрабатываемый ГОСТ, и уже существующие рекомендации регуляторов и производителей платформ, и многочисленные инструменты, реализующие эти процессы - от бесплатных до очень дорогих. Однако все усилия, которые сейчас прилагаются экспертным сообществом, напоминают советы филина, который рекомендовал мышкам стать ёжиками и не грузить его деталями: все понимают, что нынешняя ситуация с безопасностью в разработке заказных приложений плоха, все понимают, как должна выглядеть идеальная ситуация, но как перейти от первой ситуации ко второй, не знает никто. И драйвера перемен пока не видно.

Во-первых, много бизнес- и ведомственных приложений уже написано и работает безо всяких стандартов безопасной разработки, причем работает, принося пользу. На них потрачены деньги, в том числе и государственные, выкинуть их и начать с нуля писать новые, безопасные с тем же функционалом – безумное расточительство, особенно в кризис, и на это ни один заказчик не пойдёт.

Во-вторых, большинство бизнес- и ведомственных приложений – не законченные раз и навсегда конструкции, они «живые» - функционал постоянно дорабатывается под нужды бизнеса и реагируя на вновь появляющиеся требования регуляторов. Внедрять SDL в доработку, не внедряя его в основную разработку – невозможно.

В третьих, не секрет, что SDL сильно удорожает разработку, что еще можно как-то окупить на сокращении обращений в техподдержку при разработке тиражных решений. Однако эффективность инвестиций в SDL в “in-house” разработке, то есть внутренними силами для самого себя, доказать не просто.

Традиционный российский метод силового внедрения инноваций с помощью принципа «кнута и плётки», то есть «обязать и штрафовать», приведёт к тому, что такие требования будут восприниматься как налог, а налоги платить никто не любит, поэтому их всегда «оптимизируют». Пока люди, отвечающие за безопасность бизнес-приложений, не научатся быть полезными для бизнеса и разработчиков, безопасность придётся внедрять силой. Пока же, как мы видим, ставка делается на принцип «мы научим вас быть счастливыми".

Комментариев: 3

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии

07.07.2015 09:28:47

Интересно узнать: о каком ГОСТе идет речь и кто его разрабатывает? Что это за проект, где можно познакомиться с материалами проекта, сроками, авторами, текстами госта и пр?

07.07.2015 10:14:25

Да, присодиняюсь - ссылку бы хотелось получить на сей "разрабатываемый ГОСТ".

07.07.2015 10:28:28

Да, а то получается, что мы обсуждаем какие-то процесса на "небесах" или на Марсе...

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии