IV. Меры по обеспечению информационной безопасности программного обеспечения, размещаемого в открытом репозитории программного обеспечения

19. Оператору открытого репозитория программного обеспечения рекомендуется реализовать в составе инфраструктуры открытого репозитория программного обеспечения следующие сервисы, доступные для пользователей открытого репозитория программного обеспечения, при этом условия и регламент предоставления сервисов, в том числе на коммерческой (платной) основе, определяются оператором открытого репозитория программного обеспечения:

19.1. сервис тестирования программного обеспечения на уязвимости. Данный сервис содержит инструменты автоматического, статического и динамического тестирования программного обеспечения. Также в состав указанного сервиса рекомендуется включить средства автоматизированной оценки защищенности от наиболее опасных и распространенных типов атак и уязвимостей, средства по контролю и безопасному хранению секретов (используемых в программных проектах ключей доступа к различным ресурсам, требующих повышенных мер безопасности). Указанный сервис обеспечивает формирование электронных отчетов о программных дефектах и потенциальных уязвимостях в программном обеспечении. Оператору открытого репозитория программного обеспечения рекомендуется постоянно расширять набор таких инструментов в составе открытого репозитория программного обеспечения, обеспечивая возможность эффективного улучшения качества программного обеспечения пользователями открытого репозитория программного обеспечения;

19.2. сервис по выявлению уязвимостей программных проектов, размещенных в открытом репозитории программного обеспечения, с возможностью привлечения независимых экспертов и исследователей программного обеспечения за вознаграждение (багбаунти). Порядок участия экспертов и исследователей программного обеспечения определяется правилами использования сервиса, выбранного оператором открытого репозитория программного обеспечения;

19.3. сервис безопасной разработки программного обеспечения, предполагающий обеспечение разработчиков отечественными компиляторами, средами разработки под отечественные процессоры, эмуляторами отечественной электронной компонентной базы. Данная рекомендация применяется в случае наличия указанных инструментов в Едином реестре российских программ для электронных вычислительных машин и баз данных и в случае отсутствия каких-либо ограничений на использование указанных инструментов в открытом репозитории программного обеспечения;

19.4. сервис публикации отчетов о безопасности программного обеспечения, размещенного в открытом репозитории программного обеспечения. Данный сервис должен предоставлять пользователям открытого репозитория программного обеспечения данные, содержащие сведения о результатах проверок безопасности размещаемого в открытом репозитории программного обеспечения, в которых указываются объем, время (периодичность) и результаты проведенного анализа.

20. Сервисы, указанные в пунктах 19.1 - 19.4 настоящих методических рекомендаций, могут предоставляться как разработчиком инструментов открытого репозитория программного обеспечения, так и внешними по отношению к открытому репозиторию программного обеспечения юридическими лицами.