В России готовится новый законопроект, который изменит подход к поиску и проверке уязвимостей в программном обеспечении. Как сообщает РБК со ссылкой на источники в государственных структурах, документ закрепит за ФСБ, ФСТЭК и НКЦКИ право устанавливать обязательные правила проведения тестов на уязвимости — включая программы bug bounty, внутренние проверки компаний и исследования независимых специалистов.
Проект вводит официальное понятие «мероприятие по поиску уязвимостей». Участвовать в таких проверках смогут только аккредитованные специалисты после прохождения процедуры идентификации. Реестр операторов, соответствующих требованиям, будет размещён в открытом доступе. Любая деятельность без аккредитации или с нарушением установленного регламента станет незаконной.
Кроме того, планируется обязать исследователей уведомлять не только владельцев ПО, но и уполномоченные ведомства о найденных уязвимостях. Поправки также затрагивают статью 274 УК РФ: передача сведений об уязвимостях без соблюдения официальной процедуры может считаться уголовным нарушением.
