Представители Банка ВТБ, ИТ-холдинга Т1, СберТеха, Росатома и ИСП РАН на Kazan Digital Week – 2025 вывели формулу доверенного репозитория открытого ПО. В частности, эксперты сошлись во мнении о том, что для определения наиболее критичных требований к репозиторию и подтверждения безопасности кода необходимо участие регулятора, а функциональность и развитие доверенного репозитория должны регулироваться профессиональным сообществом.

Безопасность использования открытого ПО остается ключевым вопросом на фоне продолжающегося импортозамещения. Наиболее остро этот вопрос стоит для государственных структур и бизнеса, особенно организаций, относящихся к критической информационной инфраструктуре (КИИ). По словам Сергея Безбогова, заместителя руководителя технологического блока – старшего вице-президента ВТБ, с точки зрения компаний, главное условие доверия к открытому коду — это возможность его проверки и дальнейшего развития. В свою очередь, Дмитрий Харитонов, генеральный директор ИТ-холдинга Т1, отметил, что со стороны вендора доверенность ПО определяется тремя критериями — техническим, юридическим и операционным. Во-первых, компания должна иметь возможность проверить сборку кода и протестировать его. Во-вторых, должна быть уверенность в том, что поставляемый вендором софт имеет лицензию и соблюдает требования клиента или регулятора. И, в-третьих, разработчик должен иметь возможность обеспечить дальнейшую работоспособность такого программного обеспечения.

Поэтому задача по формированию доверенного репозитория открытого ПО в первую очередь ставит перед собой вопрос прозрачности технологического стека каждого решения. Сергей Безбогов предложил начать с обмена проверенными по общим методикам библиотеками между крупнейшими игроками. По его словам, инициатива в этом процессе должна исходить от самих компаний. «Сегодня каждая крупная организация вынуждена самостоятельно проводить многоуровневые проверки библиотек, что занимает в лучшем случае несколько дней, а то и недели и месяцы. Необходимо выстроить систему, при которой библиотека проверяется один раз, а результаты этой проверки становятся доступны остальным участникам», — отметил спикер.

Более того, Алексей Хорошилов, руководитель Центра исследований безопасности системного программного обеспечения ИСП РАН, выделил дополнительные положительные эффекты, к которым потенциально может привести создание репозитория. «Что касается доверия и вопросов исследования безопасности, то в нашей стране действительно развиты практики, методики и технологии анализа open-source компонентов. В мире не так много государств располагают передовыми инструментами статического анализа. И мы видим растущий интерес к этим технологиям со стороны зарубежных коллег, в первую очередь из стран БРИКС, которые готовы внедрять наши подходы. Центр, созданный под эгидой ФСТЭК России, уже продемонстрировал принципиальную возможность реализации идеи совместного анализа open-source компонентов на примере разработчиков средств защиты информации. Предложения коллег из финансовой отрасли открывает новые перспективы для масштабирования подхода как внутри России, так и на международном уровне», — отметил он.

Особое внимание в ходе обсуждения было посвящено требованиям к оператору репозитория. Дмитрий Харитонов, глава Т1, в своей речи сформулировал критерии, которым такая организация должна соответствовать, чтобы отвечать запросам государства и бизнеса.

«Во-первых, у компании должна быть необходимая экспертиза внутри, чтобы не просто тестировать код и получать сертификаты, а полноценно управлять разработкой, исправлять дефекты, вносить изменения и поддерживать продукт. Во-вторых, для работы с объектами критической инфраструктуры должен использоваться доверенный софт, а сама компания обязана иметь опыт работы с такими объектами. Без понимания уровня серьезности и специфики этой сферы компания просто не может быть допущена. Важен и фактор финансовой стабильности — оператор не должен исчезнуть с рынка завтра, это элементарная гарантия надежности и уверенности партнеров друг в друге. Кроме того, свою роль играет и регуляторика: официально подтвержденный статус системно значимой компании может служить дополнительным критерием доверия и надежности», — поделился Дмитрий Харитонов.

Кроме того, эксперты сошлись во мнении, что доверие к открытым компонентам невозможно без доверия к доработкам, которые компании создают на их базе. Евгений Абакумов, директор по информационным и цифровым технологиям Росатома, предложил выкладывать в общий репозиторий как исходный open source, так и те компоненты, которые разрабатываются на его базе внутри компаний — чтобы не тратить ресурсы на повторное решение типовых задач. «Мы видим необходимость в саморегуляции процессов подтверждения качества. Компании могут не только использовать, но и совместно формировать базу компонентов и библиотек на основе открытого кода, чтобы усилить синергию и оптимизировать затраты».

При этом российский бизнес уже выстроил существенную часть инфраструктуры для реализации доверенного репозитория. По словам Антона Атояна, заместителя генерального директора — директора департамента Сбербанк-Технологии, в России уже существуют крупные репозитории, а также накоплен значительный опыт их безопасной эксплуатации. «Сегодня важно совместно с регулятором утвердить прозрачные критерии доверия и единые правила, которые и дальше позволят компаниям уверенно использовать и развивать открытое ПО», — заключил он.

Участники дискуссии обсудили и дальнейшие шаги в развитии экосистемы репозитория. Среди них — подключение профильных регуляторов для разработки прозрачных методик и создание устойчивой экосистемы доверенного открытого кода, которая позволит бизнесу и государству использовать open-source более безопасно и эффективно. В качестве итога дискуссии спикеры договорились совместно провести пилот по выработке критериев и технико-экономических показателей доверенного репозитория, как безопасной среды для разработки на примере реализации Концепции ИТ-холдинга Т1, разработанной совместно с ВТБ.

Об ИТ-холдинге Т1
ИТ-холдинг Т1 – многопрофильный холдинг, один из лидеров российского ИТ-рынка, является партнером ключевых производителей и разработчиков в сфере информационных технологий. Компании холдинга начинают историю с 1992 года. В штате — более 27 тысяч сотрудников. В 2024 году выручка холдинга составила 249,6 млрд рублей без НДС. По версии аналитических агентств CNews Analytics и RAEX, Т1 является крупнейшей ИТ-компанией в России.
Т1 предоставляет полный спектр ИТ-услуг для реализации высокотехнологичных проектов с учетом отраслевой специфики заказчиков. В состав холдинга входят бизнес-направления Т1 Интеграция, Т1 Облако, Т1 Искусственный Интеллект, Т1 Сервионика, Т1 Иннотех, Мультикарта и вендор НОТА от Т1. Также у холдинга есть собственный образовательный сервис для подготовки квалифицированных ИТ-кадров – Т1 Цифровая Академия. Компании холдинга обладают профессиональной экспертизой в области разработки ПО, системной интеграции, Big Data и машинного обучения, облачных сервисов, информационной безопасности, консалтинга, сервисной поддержки и аутсорсинга, процессинга, дистанционного зондирования Земли (ДЗЗ). Компетенции холдинга позволяют проектировать и реализовывать комплексные проекты в области цифровой трансформации для заказчиков любой отрасли, уровня развития инфраструктуры и масштаба.
Среди заказчиков Т1 – государственные структуры и крупнейшие компании ключевых отраслей экономики: операторы связи, финансовые организации, промышленные, топливно-энергетические, транспортные и торговые предприятия.
Подробнее: t1.ru

Контакты для СМИ:
e-mail: pr@t1.ru
тел.: +7 495 727-09-85
Telegram: https://t.me/T1Holding