31.05.2018
Американские компании, поставляющие программное обеспечение министерству обороны США, обязаны будут сообщать о фактах предоставления своих программных продуктов для изучения государствами–«противниками» Штатов, в частности, Россией и Китаем; такой законопроект внесён в Сенат на этой неделе, пишет Reuters.
Изучение ПО, в том числе исходных кодов – стандартная процедура, необходимая для сертификации программных продуктов в России для применения в государственных учреждениях. Анализ ПО проводится для поиска недокументированных функций, «закладок», фрагментов кода, способного, например, похитить обрабатываемые данные. Американцев в этой связи взволновало предположение, что русские и китайцы, изучив код, найдут в нём уязвимости, которые станут эксплуатировать, атакуя этот же софт в военных учреждениях США.
«Доступ к исходным кодам действительно облегчает поиск уязвимостей, но не кардинально. Находить большинство уязвимостей можно и без исходного кода», — поясняет управляющий директор «Росплатформы» Владимир Рубанов. По его мнению, отказ в предоставлении исходных кодов для анализа (который осуществляется с применением специальных автоматических инструментов, без них вручную изучить миллионы строк кода невозможно – ред.) окончательно подорвет доверие к американскому ПО – оно не сможет «пройти необходимые для серьёзного использования уровни сертификации по безопасности».
Если Пентагон решит, что изучение кода «противниками» рискованно, чиновники и представители компании-разработчика должны будут договориться о вариантах решения проблемы. Детали о случаях изучения кода «противниками» и информация о предпринятых по отношению к ПО шагах будут храниться в базе данных, доступной военным.
Документ, уже одобренный сенатским комитетом по делам вооруженных сил, разработан после публикации агентства Reuters, обнаружившего давно известный факт: американские производители ПО предоставляют компетентным органам России для анализа исходные коды софта, который используется Пентагоном, ФБР и другими спецслужбами США. Эксперты по безопасности заявляют, что предоставленный российским органам доступ к коду может помочь России обнаружить уязвимости ПО и атаковать ключевые системы, защищающие США.
Подробности законопроекта пока не разглашаются. Документ ещё должен пройти слушания в Сенате и проверку в Палате представителей, после чего его направят на подпись президенту США. В случае принятия новый закон увеличит военные расходы.
http://d-russia.ru/v-ssha-razrabotan-zakonoproekt-ogranichivayushhij-predostavlenie-ishodnyh-kodov-po-dlya-sertifikatsii-v-rossii.html
http://creativecommons.org/licenses/by/3.0/legalcode
