РБПО-005. РБПО или БРПО? Встречается как термин "разработка безопасного программного обеспечения" (РБПО), так и "безопасная разработка программного обеспечения" (БРПО).
Новый ГОСТ Р 56939-2024 делает акцент на совершенствовании процессов разработки. Т.е. если применить стандарт, то разработка программного обеспечения (РПО) станет безопасной. С этой точки зрения более уместен вариант БРПО.
С другой стороны, конечная цель — создать безопасное программного обеспечение (БПО), и тогда логичнее звучит РБПО.
На мой взгляд, уместны оба варианта написания. Однако раз уж ГОСТ называется "Разработка безопасного программного обеспечения" (РБПО), то я буду придерживаться этого варианта.
· 13.01
Насколько я понимаю, ранее, в ГОСТ 2016 года, были описаны меры, направленные на усиление процессов, чтобы именно процессы разработки ПО были безопасными. А в новом ГОСТ 2024 года описаны сами процессы, какими они должны быть, чтобы продукт считался безопасным. Другими словами, мне кажется акцент сместился с безопасности ЖЦ к безопасности самого ПО. Соответственно речь уже не идёт о безопасной разработке (так как любая разработка изначально должна быть безопасной), а о безопасном ПО, что и отражается в названии
ответить
коммент удалён
· 14.01
Наверное, можно и так интерпретировать. Впрочем мы считаем, что особенно не стоит фокусироваться над названиями и формулировками. При желании, можно придумать 100500 интерпретаций "что хотели сказать авторы стандарта" :) Важно то, что собраны хорошие практики, которые направлены как на повышение качество кода, так и на улучшение процессов разработки в целом. Например, обучение сотрудников (процесс 2) в перспективе положительно повлияет и на качество кода и на безопасность приложений.
ответить
ответ удалён
· 14.01
Безусловно. Просто на практике сложилась ситуация, что ранее сотрудники проходили обучение по БРПО, внедряли практики, а теперь РБПО и при проработке процессов, вопрос "а почему было так, а теперь вот так?" звучит настолько часто, что кажется нужно иметь какую-то более обоснованную причину, чем "ну теперь вот так". Да и банально нужно принять единый формат, чтобы в документации например не было нескольких вариантов, так как при поиске часть запросов становится нерелевантной, поэтому мы в документации стараемся все переименовать на новый лад, что плодит вышеозвученный вопрос уже в системе контроля документации :)
ответить
ответ удалён