На конференции «Цифровой индустрии промышленной России» (ЦИПР), состоялось выступление директора по развитию бизнеса UserGate Эльмана Бейбутова.
Название сессии: «Скрипит, но едет. Доработка отечественного ПО и создание системы рейтингования».
Обсуждались темы доработки российского общесистемного ПО, создания механизма их публичного рейтингования
Специалисты компании UserGate подготовили отчёт о вопросах и ответах, прозвучавших после выступления специалиста.
Насколько часто в российском ПО обнаруживаются ошибки?
Российское ПО неоднородно: на рынке есть действительно качественные решения, а есть очень сырые продукты. Проблема не в том, что российские продукты изобилуют ошибками — это не так. Она в том, что потенциальному пользователю приходится перебирать десятки решений, привлекая экспертов и задействуя «сарафанное радио», чтобы найти нужный вариант, а на это тратится очень много человеко-часов, особенно в масштабах всей страны.
С чем связано появление ошибок в российском ПО?
Главная причина — в нарушении пирамиды приоритетов, на которую опирается разработка любого ПО. В нее входят стабильность, безопасность, производительность, функциональность и удобство. На начальных этапах развития продукта, когда создается MVP-версия, многие разработчики видят фундаментом этой пирамиды функциональность, и это становится главным источником ошибок в продукте. Такой подход приводит к тому, что при переходе от MVP к зрелому продукту и при его масштабировании начинает проседать производительность. А там, где недостает производительности, неминуемо возникают проблемы со стабильностью и безопасностью.
Что мешает разработчикам изначально закладывать устойчивую архитектуру?
Ограниченные сроки и давление рынка заставляют фокусироваться на MVP и быстром создании привлекательных для клиента фич. В жертву приносится системный подход, в итоге может случиться так, что решение приходится переписывать с нуля, и годы работы теряются впустую.
Насколько широко используется open source в российском ПО и безопасно ли это?
Использование библиотек из открытых репозиториев — обычная и нормальная практика, но важно не просто использовать, а локализовывать и анализировать библиотеки на предмет уязвимости, производительности и актуальности.
Почему до сих пор не существует системы рейтингования российского ПО?
В первую очередь потому, что пока еще никто не решился взять на себя роль организатора. Кроме того, отсутствует единая методология оценки, признанная всеми заинтересованными сторонами.
Кто мог бы взять на себя роль лидера в создании такой системы?
Есть три варианта: коммерческая компания, государственный регулятор или Минцифры. Все они могут возглавить процесс, взяв на себя разработку прозрачной и независимой методики.
Не создаст ли рейтингование дополнительное давление на разработчиков?
Создаст, но это конструктивное давление. Система поможет разработчикам увидеть слабые места и покажет направления для роста. От этого выиграют и пользователи, и сами разработчики.
Какие преимущества даст система рейтингования?
Такая система сократит затраты на пилоты и тестирования, позволит быстрее ориентироваться среди множества решений, доступных на рынке. Клиент сможет выбирать поставщиков из топа рейтинга, выстроенного по объективным критериям.
А какие критерии оценки должны лечь в основу рейтинга?
Те самые, которые входят в пирамиду приоритетов: стабильность, безопасность, производительность, функциональность, удобство — причем именно в таком порядке. Для сектора информационной безопасности также добавляются сертификация и комплаенс.
Должны ли учитываться мнения конечных пользователей при формировании рейтинга?
Безусловно, но при этом важно стандартизировать сбор отзывов, чтобы их было проще систематизировать и учитывать.
Есть ли уже примеры хотя бы частичной реализации системы рейтингования?
Да: в банковской и энергетической отраслях уже проходят испытания системы рейтингования, выстроенные по внутренним методикам. Продукты тестируются в независимых лабораториях, о них публикуются сравнительные отчеты. Этот опыт вполне можно масштабировать на российский рынок в целом.
О спикере
Эльман Бейбутов имеет более 16 лет опыта работы в сфере информационной безопасности: от пресейл-консультанта в системном интеграторе до директора по развитию бизнеса в крупном вендоре. Развивал направления по продаже SIEM, Vulnerability Scanners, Database Security, Web Application Firewall в «Инфосистемах Джет», услуг аутсорсинга мониторинга инцидентов в Solar Security. Реализовывал ИБ-продукты и консалтинговые услуги, работая в IBM. В Positive Technologies разрабатывал стратегии развития бизнеса как отдельных продуктов, так и всего портфеля, в том числе оказывая влияние на разработку ПО.
