Ассоциация разработчиков программных продуктов «Отечественный софт» (АРПП) предложила сформулировать доверительные критерии для мобильных операционных систем, которые построены на платформе Android Open Source Project (AOSP) и используются на объектах критической информационной инфраструктуры. Письмо с этим предложением АРПП отправила в Федеральную службу по техническому и экспортному контролю (ФСТЭК), сообщает РБК.
Под критической информационной инфраструктурой подразумеваются коммуникационные и информационные системы государственных органов, энергетических, финансовых, транспортных и некоторых других предприятий.
По словам Олега Карпицкого, главы комитета АРПП по развитию экосистемы российских мобильных продуктов и гендиректора НТЦ ИТ «РОСА», анализ выявил несколько угроз при использовании AOSP: нерегулярные обновления безопасности, сборка на зарубежных серверах, лицензионные и репутационные риски, связанные с несанкционированным использованием AOSP без согласования с Google. Он отметил, что AOSP имеет ограничения в своей модели разработки и распространения, что создаёт дополнительные сложности для безопасного использования в России. Он уверен, что установление новых критериев уменьшит риски и обеспечит более безопасные условия для критически значимой инфраструктуры и госструктур.
В России разработкой систем на базе AOSP занимаются компании Yadro (продукт KvadraOS), «Ред софт» («РЕД ОС М») и «Атол» (ATOL OS). В феврале группа компаний «Аквариус» приступила к разработке своей ОС на AOSP.
По информации РБК, система от «Ред софт» применяется в некоторых региональных госорганах и МЧС, но в ограниченных объёмах. Как выяснила электронная площадка «Тендерплан», в 2024 году устройства с системами «РЕД ОС М» и/или KvadraOS закупали такие организации, как Минцифры и Минсельхоз Красноярского края, Аналитический центр Пермского края, Центральная база измерительной техники МЧС, Главный научный инновационный вычислительный центр Налоговой службы и другие ведомства и организации.
Источники РБК в кругу разработчиков операционных систем отмечают, что в целом индустрия одобрительно относится к введению критериев и требований для использования ОС на Android в государственных информационных системах и критически важной информационной инфраструктуре. По их мнению, основной риск заключается в том, что разработкой AOSP занимается Google, коммерческая компания, которая может в любой момент прекратить открытый доступ к новым версиям, что невозможно в случае с сообществом Linux.
Источник: habr.com