За поиск уязвимостей в российском ПО будут платить хакерам

26.05.2016 |

Александр Абрамов.

Недостатки отечественного ПО предлагают искать хакерам. Минкомсвязи разрабатывает соответствующий проект, позволяющий независимым специалистам и разработчикам плотно взаимодействовать при выявлении и устранении «дыр» в российском софте.

Минкомсвязи разрабатывает новый проект, нацеленный на улучшение качества отечественного софта, претендующего на внесение в единый реестр российского ПО. Для выявления возможных недоработок и ошибок в программах ведомство предлагает воспользоваться услугами хакеров по принципу bug bounty.

Как пояснил заместитель министра связи Алексей Соколов, использование этого международного принципа позволит России создавать по-настоящему качественные программные продукты и своевременно получать информацию об их слабостях. Высокая надежность разрабатываемых программ является важным аспектом при обеспечении информационной безопасности в нашей стране.

Специалисты согласны с тем, что введение системы bug bounty гарантирует высокую эффективность работы, но отмечают также, что ее внедрение сопровождается рядом сложностей. Так, например, требуется решить вопрос с финансированием проекта.

Хакеры и свободные специалисты в области кибербезопасности не будут предоставлять ценную информацию бесплатно, а денег на выплату вознаграждений в государственном бюджете не предусмотрено. Также некоторые проекты требуют закрытого исследования, а это значит, что для обеспечения хакерам доступа к таким разработкам придется создавать специализированные стенды и регулировать их работу. Кроме того, предоставленные отчеты потребуется тщательно проверять – для этого нужно создавать отдельную рабочую группу из специалистов высокого класса и, соответственно, платить им за работу.

Государство не готово возложить все заботы о новой системе на свои плечи и предлагает передать этот проект заинтересованным лицам и организациям. Возможно, изначально будет создана единая площадка, на которой будут координироваться действия разработчиков, хакеров, ведомств, спонсоров и крупных потребителей.

Эксперты отмечают, что реестр российского софта наполняется преимущественно приложениями низкого качества. При внесении новых разработок в этот перечень их проверяют лишь на соблюдение ограниченного круга условий. Как пояснил руководитель ALT Linux Алексей Смирнов, такие программы обычно гарантируют российское происхождение, но не могут обеспечить необходимое качество и требуемый уровень защиты. Вероятно, в будущем законодательно запретят вносить в единый реестр тот софт, который не участвует в проверке по bug bounty.