ГОСТ Р 56939-2024 вступил в силу, но безопасность кода ломается: почему инциденты не прекращаются?

Новый ГОСТ Р 56939-2024 по разработке защищённого программного обеспечения вступил в силу, однако поток инцидентов безопасности не прекращается. Это указывает на системный сбой: формальное внедрение стандартов и даже интеграция нейросетевых инструментов в пайплайны разработки не гарантируют реальной защиты. Проблема кроется в том, что безопасность часто превращается в «бумажный ритуал» перед релизом, а не вшивается в сам конвейер разработки как автоматизированный и непрерывный процесс.

Александр Сахаров, директор по работе с партнерами в Диасофт, отмечает, что его компания, строящая enterprise-платформу Digital Q, сейчас решает именно эту задачу. Цель — заставить безопасность работать автоматически, а не быть формальным препятствием. Для понимания ожиданий рынка и проблем были собраны эксперты на обсуждение нового ГОСТа. Ключевой вопрос: где на самом деле ломается безопасность кода, если стандарты есть, а уязвимости появляются?

Ситуация создает давление на всю отрасль enterprise-разработки. Компании и команды разработки сталкиваются с риском, когда соблюдение ГОСТа становится бюрократической процедурой, не влияющей на фактическую устойчивость кода к атакам. Это требует пересмотра подходов к интеграции инструментов безопасности (SAST, DAST, SCA) и управления зависимостями непосредственно в CI/CD, делая безопасность неотъемлемой частью рабочего процесса, а не финальным аудитом.