Репозиторий АФТ как объединяющая сила. Совместное тестирование, разработка и принципы DevSecOps

Объединить усилия

Сегодня компании финансового рынка как никогда раньше сосредоточены на поиске решений, которые полностью закроют их потребности, отвечая при этом всем требованиям безопасности, нормативным и функциональным требованиям, а также требованиям технологического суверенитета. Кроме этого, участники рынка говорят о потребности в совместной разработке и тестировании инструментов, в том числе — кросс-отраслевом (ИТ-компании, банки, страховые, телеком-операторы и т. д.). Согласно опросам и консультациям, проведённым на площадке Ассоциации ФинТех, участники рынка готовы объединять усилия для создания и развития новых отраслевых решений. Но для этого нужна независимая площадка, на которой решения будут собираться, классифицироваться, тестироваться, проверяться, а также совместно разрабатываться.

Равноудаленная площадка

Работа над Репозиторием АФТ, который должен объединить специализированные ИТ-решения для финансовой отрасли, началась в сентябре 2022 года. Для того чтобы соблюсти интересы участников рынка, важно было хранить, тестировать и разрабатывать решения именно на равноудалённой площадке.

Члены Ассоциации высказались за то, чтобы такой независимой площадкой стал Репозиторий АФТ. И уже 2 марта 2023 года первый зампред Банка России Ольга Скоробогатова сообщила о его создании.

Что уже сделано? На площадке Ассоциации совместно с участниками АФТ и Банком России проведён анализ специфических требований финансовых организаций по развитию ИТ-ландшафтов, а также текущих поставщиков ИТ-решений для финансовой отрасли. По результатам этой работы в промышленную эксплуатацию введена новая (вторая) версия Репозитория, в которой реализованы консолидированные требования участников АФТ, представителей ИТ-рынка и Банка России:

поставщики ИТ-решений получили бизнес-аналитику своих ИТ-решений в разрезе функциональных карт финансовых организаций и других классификаторов:

• функциональная карта банка;
• функциональная карта СК;
• функциональная карта НПФ;
• классификатор Минцифры;
• решения для обеспечения ИБ;
• ИТ-решения с открытым кодом;

для представления ИТ-решений в Репозитории АФТ используются как классификаторы функциональных, так и выделенный классификатор ИТ-решений для обеспечения информационной безопасности финансовой организации;

реализовано несколько вариантов гибкого, многофакторного, адаптивного поиска ИТ-решений;

в карточке ИТ-решения расширены разделы описания лицензии и ключевых элементов технологического стека;

для удобства описания ИТ-решения в карточке используются справочники (баз данных, импортных аналогов, операционных систем, языков программирования и др.).

В данный момент полным ходом идёт процесс наполнения Репозитория, для чего организована селекция отечественных ИТ-решений для финансовой отрасли и, по мере необходимости, их тестирование. К процессу валидирования ИТ-решений из Репозитория АФТ привлечены коллегиальные органы Ассоциации — Комитет по технологиям и Совет архитекторов.

Что планируется:

добавление новых классификаторов по самым передовым технологиям, прежде всего в области облачных технологий и искусственного интеллекта;

встраивание в функционал Репозитория так называемого технологического бенчмаркинга от аналитиков АФТ. Он будет представлять собой сравнительный анализ решений с точки зрения используемых технологий. Бенчмаркинг будет встроен в поисковый механизм, что позволит компаниям выбирать наиболее технологичные и современные решения;

добавление инструментов для проверки, сборки, контроля версий и анализа уязвимостей, а также совместной разработки программных решений с открытым кодом.

Совместная разработка и теститрование

В Репозиторий АФТ, помимо собственно реестровой и репозиторной части, встроены инструменты для совместного тестирования и разработки решений. По сути, у представителей российского финансового сектора появилась безопасная отраслевая среда для совместного тестирования, верификации и разработки. Это позволит компаниям внедрять необходимые решения быстрее и эффективнее, заметно снизит себестоимость создания специализированного ПО.

Для консолидации усилий отраслевого сообщества по разработке и применению ИТ-решений с открытым кодом на площадке АФТ создаётся центр компетенций (ЦК) по безопасной разработке. В ЦК войдут представители ключевых игроков финтех-рынка: финансовых организаций, телеком-операторов и технологических компаний. Стратегическая задача, которая стоит перед центром, — создать сообщество специалистов для обмена опытом, имплементации методологий и практик по открытому коду и процессам безопасной разработки, с целью повышения уровня защищённости всего жизненного цикла финтех-решений, обеспечить понятный и прозрачный процесс использования свободного программного обеспечения (СПО) на финансовом рынке.

ЦК консолидирует опыт, знания и компетенции участников АФТ по безопасной разработке и применению СПО. Центр должен создать и поддерживать методологию процессов безопасной разработки ИТ-решений финансовых организаций. В сферу ответственности центра входит идентификация, оценка и тестирование ИТ-решений на основе СПО; организация совместных проектов по развитию ИТ-решений на основе СПО. Размещаться, храниться и тестироваться созданные решения будут в Репозитории АФТ. Для развития ИТ-решений на основе СПО будет использоваться запущенная АФТ технологическая песочница.

Помимо обязательного тестирования и верификации ИТ-решений на площадке АФТ, проверять ПО, внесённое в отраслевой Репозиторий, на своих конвейерах будут и участники Ассоциации, в результате чего в карточке решения появится «галочка» — «проверено топовым участником». Такой подход важен для критичного ПО, так как оно будет проверено на мощных конвейерах крупнейших компаний страны и, таким образом, пройдёт независимую экспертизу.

Зачем это рынку?

Растущая потребность в быстрой разработке и внедрении решений, с одной стороны, и всё возрастающие киберриски — с другой ставят перед отечественными компаниями вопрос скорейшего внедрения DevSecOps в свои процессы. Использование методологии DevSecOps должно привести к повышению уровня защищённости разрабатываемых решений и достижению требуемого уровня технологической независимости организаций российского финансового сектора.

Создание Репозитория АФТ преследует ещё одну важную цель — формирование отраслевого сообщества экспертов. Их совместная работа не только значительно упростит процесс внедрения DevSecOps и поможет быстрее и более качественно разрабатывать необходимые решения, но и задаст импульс дальнейшего развития финтех-рынка.

Источник: BIS Journal