На конференции Kazan Digital Week — 2025 представители крупных российских компаний и институтов, включая Банк ВТБ, ИТ-холдинг Т1, СберТех, Росатом и ИСП РАН, сформулировали ключевые принципы создания доверенного репозитория открытого программного обеспечения.
Эксперты отметили, что безопасность открытого ПО является критически важной задачей в условиях импортозамещения, особенно для государственных структур и организаций критической информационной инфраструктуры. Было подчеркнуто, что для определения требований к репозиторию и подтверждения безопасности кода необходимо участие регулятора. При этом функциональность и развитие самой платформы должны регулироваться профессиональным сообществом.
С точки зрения бизнеса, главное условие доверия к открытому коду — это возможность его независимой проверки и дальнейшего развития. Со стороны вендора доверенность ПО определяется тремя критериями: техническим (возможность проверить сборку и протестировать код), юридическим (наличие лицензий и соответствие требованиям) и операционным (способность обеспечить дальнейшую работоспособность).
Было предложено начать с обмена проверенными по общим методикам библиотеками между крупнейшими игроками, чтобы избежать дублирования усилий, когда каждая компания тратит недели на многоуровневую проверку одних и тех же компонентов.
«Сегодня каждая крупная организация вынуждена самостоятельно проводить многоуровневые проверки библиотек, что занимает в лучшем случае несколько дней, а то и недели и месяцы. Необходимо выстроить систему, при которой библиотека проверяется один раз, а результаты этой проверки становятся доступны остальным участникам».
Сергей Безбогов, заместитель руководителя технологического блока — старший вице-президент ВТБ
Отдельно обсуждались требования к оператору такого репозитория. Он должен обладать внутренней экспертизой для управления разработкой и исправления дефектов, иметь опыт работы с объектами КИИ, быть финансово стабильным и, предпочтительно, иметь статус системно значимой компании.
«Важен и фактор финансовой стабильности — оператор не должен исчезнуть с рынка завтра, это элементарная гарантия надежности и уверенности партнеров друг в друге. Кроме того, свою роль играет и регуляторика: официально подтвержденный статус системно значимой компании может служить дополнительным критерием доверия и надежности».
Дмитрий Харитонов, глава Т1
Эксперты сошлись во мнении, что в России уже существуют крупные репозитории и накоплен значительный опыт их безопасной эксплуатации. Следующими шагами станут подключение регуляторов для разработки прозрачных методик и проведение пилотного проекта по выработке критериев доверенного репозитория на основе концепции, разработанной Т1 и ВТБ.