ВИЗИТКА 


Сергей Горбунов,
главный инженер-программист службы внедрения
и сопровождения, компания «Форс – Центр разработки»

Импортозамещение ПО:
возможные риски и способы их избежать

В последние годы в России наблюдается устойчивый тренд на импортозамещение, охватывающий различные сегменты рынка, включая программное обеспечение. Первоначально акцент делался на замещение коммерческого ПО, однако в настоящее время заказчики всё чаще требуют и замены продуктов с открытыми лицензиями. Рассмотрим потенциальные риски и вызовы, связанные с этим процессом, которые не всегда могут быть очевидны для заказчиков.

Проблемы совместимости и безопасности

Один из ключевых аргументов в пользу импортозамещения – обеспечение информационной безопасности. Отечественные продукты часто позиционируются как защищённые от санкционных рисков, а наличие сертификатов ФСТЭК подтверждает успешное прохождение проверок. Однако это не всегда гарантирует полную безопасность.

Одним из наиболее распространённых методов выявления уязвимостей в программном обеспечении является использование базы данных CVE (Common Vulnerabilities and Exposures). Этот международный публичный реестр, содержащий информацию о выявленных уязвимостях в различных программных продуктах. Однако стоит отметить, что в базу данных CVE не входят отечественные решения, поскольку большинство из них не являются самостоятельными продуктами, а представляют собой форки иностранных разработок.

Необходимо учитывать уникальные особенности отечественных решений. В частности, они часто имеют собственные системы нумерации версий, которые могут отличаться от международных стандартов. Кроме того, в некоторых случаях обновления пакетов в отечественных операционных системах могут осуществляться путём применения патчей к более старым версиям, а не путём выпуска новых версий с обновлёнными компонентами.

В качестве примера можно рассмотреть уязвимость CVE-2022-41742, которая была обнаружена в программном обеспечении nginx версии 1.22.0 и устранена в версии 1.22.1. Однако в комплекте с некоторыми отечественными операционными системами может поставляться версия nginx 1.22.0-1, которая не упоминается ни в базе данных CVE, ни на официальном сайте проекта. В данном случае суффикс «-1» указывает на то, что к версии nginx был применён какой-то патч, но какой конкретно патч – определяется только поставщиком операционной системы, необходимо каждый раз изучать документацию.

<...>

Ключевые слова: импортозамещение ПО, отечественный софт

Полную версию статьи читайте в журнале
Подпишитесь на журнал

Комментарии могут оставлять только зарегистрированные пользователи