RAD COP

ФСТЭК России совместно с Центром исследования безопасности системного ПО и критичных компонентов на конференции Certification Day 2024 объявили о том, что до 1 января 2025 года ожидают получить от разработчиков отечественного ПО список заимствованных opensource-компонентов, входящих в состав разрабатываемых продуктов для оценки на предмет наличия уязвимостей и для составления плана поддержки сертифицированных продуктов. Также предполагается, что этот перечень должен попасть в эксплуатационную документацию на продукт.

В дальнейшем такой перечень позволит быстрее и проще проходить сертификацию в отношении тех продуктов, которые используют только проверенные Центром заимствованные компоненты, а кроме того, Центр с учётом этой информации сможет централизованно и адресно предупреждать разработчиков об уязвимостях сторонник компонентов.

В ближайшее время ожидается официальное письмо «О порядке взаимодействия участников сертификации с Центром исследования безопасности системного ПО и критичных компонентов».

Для разработчиков это означает, что очень важно заранее подготовить полный перечень заимствованных компонентов в продуктах, чтобы "не тушить пожары" перед НГ. Этот перечень и ранее требовался при анализе уязвимостей и в рамках различных оценок соответствия, но сейчас составить его особенно критично.

#комплаенс #фстэк #todo #sdlc #безопаснаяразработка

www.tgoop.com/radcop_online/162

1.2K viewsJul 16, 2024 at 11:05

ФСТЭК России совместно с Центром исследования безопасности системного ПО и критичных компонентов на конференции Certification Day 2024 объявили о том, что до 1 января 2025 года ожидают получить от разработчиков отечественного ПО список заимствованных opensource-компонентов, входящих в состав разрабатываемых продуктов для оценки на предмет наличия уязвимостей и для составления плана поддержки сертифицированных продуктов. Также предполагается, что этот перечень должен попасть в эксплуатационную документацию на продукт.

В дальнейшем такой перечень позволит быстрее и проще проходить сертификацию в отношении тех продуктов, которые используют только проверенные Центром заимствованные компоненты, а кроме того, Центр с учётом этой информации сможет централизованно и адресно предупреждать разработчиков об уязвимостях сторонник компонентов.

В ближайшее время ожидается официальное письмо «О порядке взаимодействия участников сертификации с Центром исследования безопасности системного ПО и критичных компонентов».

Для разработчиков это означает, что очень важно заранее подготовить полный перечень заимствованных компонентов в продуктах, чтобы "не тушить пожары" перед НГ. Этот перечень и ранее требовался при анализе уязвимостей и в рамках различных оценок соответствия, но сейчас составить его особенно критично.

#комплаенс #фстэк #todo #sdlc #безопаснаяразработка

BY RAD COP