Поставщик ПО: как проверить безопасность и избежать рисков

Как оценивать поставщика программного обеспечения: зрелость процессов ИБ, наличие сканирования, SBOM-файлы и лаборатории анализа. Рассказывает Всеслав Соленик, Сбертех. Как выбрать поставщика программного обеспечения с точки зрения зрелости в информационной безопасности? Какие механизмы реально работают, когда вы покупаете ПО — и что обязательно стоит проверить до установки в контур? Всеслав Соленик, директор по кибербезопасности компании Сбертех, рассказывает, как компании проверяют входящее ПО, какие практики работают вендорам и заказчикам, и зачем нужна собственная лаборатория анализа дистрибутивов. Интервью записано на конференции IT IS CONF’25 в Екатеринбурге. Интервьюер — Илья Шабанов, генеральный директор АМ Медиа. Кому будет полезно: ИТ-директорам, инженерам по безопасности, специалистам по управлению поставщиками, архитекторам решений и вендорам, работающим на B2B-рынке и обеспечивающим соответствие требованиям кибербезопасности при поставке ПО. Оставьте комментарий, если ваш опыт подтверждает или опровергает подходы из интервью. Поддержите видео реакцией — это помогает донести его до профессионалов, которым это действительно важно. ⸻ Навигация по тайм-кодам: 00:00 — Интро 00:39 — Как проверять ПО от поставщиков 01:24 — Подход госзаказа и формализованные требования 02:34 — Сертификация по ГОСТ 56939 04:10 — Подходы коммерческих заказчиков 05:13 — Запрос на результаты сканирования кода 06:14 — Внутренние практики приёмки ПО 06:45 — Использование SBOM-файлов 07:40 — Прозрачность зависимости и open source 09:04 — Лаборатория анализа стороннего ПО 10:08 — Выявление схожести с open source 11:11 — Услуга по анализу дистрибутивов 11:42 — Реальная статистика: 16 опасных из 3 000 13:20 — Практика bug bounty и страхи заказчиков 14:51 — Подготовка к публичному багбаунти 15:54 — Метрики зрелости РБПО 16:31 — Этапы вывода на bug bounty ⸻ Календарь трансляций AM Live Сотрудничество и связь с редакцией: author@ По вопросам рекламы: sales@