В Федеральной службе по техническому и экспортному контролю (ФСТЭК) рассказали, что российские разработчики ПО регулярно не успевают в установленные сроки устранить обнаруженные уязвимости в своих решениях. Согласно правилам включения информации об уязвимостях ПО в «Банк данных угроз безопасности информации» ФСТЭК, вендору в течение 30 или 60 дней в зависимости от уровня угрозы необходимо принять меры к ее устранению.

Нарушение регламента ФСТЭК может привести к отзыву у ПО сертификата, отметил глава совета директоров компании «Базальт СПО» Алексей Смирнов. По словам гендиректора Factory5 Дениса Касимова, отечественные разработчики «отрабатывают инциденты» и вносят правки в ПО вдвое дольше, чем зарубежные. Это связано с возросшим спросом на российские продукты, а также ростом нагрузки на специалистов всех уровней технической поддержки, отметил Касимов.

На скорость внесения изменений влияет и то, что существенная доля сертифицированного ФСТЭК российского ПО основана на открытом коде, исправления в который вносит «не конкретный разработчик, а сообщество», пояснил глава комитета по информационной безопасности ассоциации «Отечественный софт» Роман Карпов. Также существуют риски внедрения в открытое ПО вредоносного кода, поэтому «разработчики вынуждены проверять и перепроверять каждое обновление перед передачей пользователю», отметил источник в разработчике общесистемного ПО.