О том, что Apple 12 февраля закрыла для российских разработчиков доступ к Apple Developer Enterprise Program (ADEP), РБК рассказали несколько источников на IT-рынке. Эта программа позволяет компаниям разрабатывать приложения для операционной системы iOS и распространять их среди своих сотрудников без публикации в магазине App Store.
Закрытие доступа к сервису подтвердил руководитель iOS-разработки в компании red_mad_robot Александр Тузовский. По его словам, ранее Apple рассылала письма компаниям, использующим Enterprise-сертификаты (сертификат Apple, с помощью которого разработчики могут подписывать приложения и распространять их), в которых предупреждала, что эти сертификаты перестанут работать с середины февраля. С этой даты — 12 февраля — все данные, связанные с программой, были удалены и пользоваться ею больше нельзя, сообщил глава Touch Instinct Дмитрий Костин.
После начала специальной военной операции Apple и многие другие зарубежные компании приостановили свою деятельность или полностью ушли с российского рынке. В частности, Apple ранее, в марте 2022 года, прекратила поддержку российских карт платежных систем Mastercard и Visa, а затем и «Мир» в сервисе Apple Pay, удалила приложения подсанкционных банков и компаний из App Store.
В середине прошлого года США ввели новые санкции против России, по которым американским компаниям запрещено оказывать российским клиентам ряд IT-услуг, в том числе поставлять софт для планирования ресурсов предприятия (ERP), управления взаимоотношениями с клиентами (CRM), бизнес-аналитики (BI), управления цепочками поставок (SCM), корпоративного хранилища данных (EDW), управления техническим обслуживанием (CMMS), а также проектами и жизненным циклом продукта (PLM). Также запрещено оказывать услуги IT-поддержки или облачные услуги для соответствующего программного обеспечения «любому лицу, находящемуся на территории России». Этот пакет санкций вступил в силу с 12 сентября 2024 года. Ссылаясь на эти запреты, например, с 9 сентября прекратил работу в России принадлежащий Google облачный сервис BigQuery (облачное хранилище, позволяющее быстро обрабатывать запросы к большим наборам данных), Microsoft отключала российских заказчиков от сервисов Microsoft Office 365, платформы управления мобильностью и безопасности Microsoft Enterprise Mobility + Security, а также коммуникационного сервиса Teams и др.
По словам Александра Тузовского, Apple не объяснила, почему именно сейчас ввела новые ограничения для российских пользователей. Дмитрий Костин лишь напомнил, что в своих заявлениях ранее Apple поясняла, что принимает меры в соответствии с требованиями законодательства и международных ограничений.
РБК направил запрос в Apple.
Кто пострадает
В экосистеме Apple существует два типа программ для разработчиков: Apple Developer Program (ADP) и Apple Developer Enterprise Program, объясняет технический директор KODE Николай Николенко. ADP — это стандартный аккаунт, который позволяет публиковать приложения в App Store, его могут получить как физлица, так и компании. ADEP — программа, предназначенная исключительно для юрлиц. По словам Николенко, такие решения активно применяли практически все крупные корпорации и компании-разработчики, чтобы обеспечить сотрудников цифровыми инструментами внутри своей экосистемы. Кроме того, различные разработчики активно использовали Enterprise-аккаунт для ускорения процесса тестирования приложений без необходимости выкладки в публичный магазин, пояснил он.
Это подтверждает Александр Тузовский. По его словам, red_mad_robot использовала Enterprise-сертификаты как для разработки приложений внутри компании, так и для своих клиентов, чтобы ускорить получение обратной связи в процессе разработки. ADEP была достаточно популярна среди компаний, использующих iOS-разработку для создания внутренних приложений — корпоративных чат-ботов, систем учета, логистики, CRM-систем (система управления взаимоотношениями с клиентами) и внутренних инструментов для бизнеса, продолжает Тузовский. Наибольшую популярность решение имело в крупных компаниях, где важно распространить предложение на сотрудников без публикации в App Store в открытом доступе, уточнил он.
Источник РБК в еще одной российской IT-компании дополняет, что те приложения, которые ADEP позволяла запускать бизнесу, учитывали корпоративные правила кибербезопасности, была возможность доступа к внутренним информационным ресурсам организации.
Какие альтернативы есть у ADEP
По словам Николая Николенко, блокировка и удаление аккаунтов разработчика у Apple серьезно повлияли на рынок мобильных приложений. Компании вынуждены пересматривать свои стратегии, искать обходные пути и инвестировать в альтернативные платформы. Многие переключились на PWA (Progressive Web Apps, технология, которая визуально и функционально преобразует сайт в приложение) и адаптацию веб-сервисов под мобильные устройства, но такие решения имеют ряд ограничений и не могут полноценно заменить нативные мобильные приложения, пояснил Николенко.
Компании вынуждены искать другие способы установки приложений на iOS-устройства, но есть определенные ограничения, говорит Александр Тузовский. Например, публикация через App Store предполагает публичную доступность, что не подходит для внутренних разработок компаний. Схема AdHoc (разработка решения для конкретной ситуации или проблемы) позволяет установить приложение только на 100 устройств и ограничивает удаление приложения, говорит эксперт. Массовое распространение и тестирование, по его словам, при таком варианте невозможны.
Сейчас на рынке нет прямой альтернативы ADEP с таким же функционалом, указал Дмитрий Костин. «Мы следим за тем, какие решения появятся. Пока же для тестирования и распространения сборок мы используем стандартные инструменты Apple, такие как TestFlight (служба бета-тестирования Apple для приложений iOS), а также корпоративные MDM-решения (Mobile Device Management, управление мобильными устройствами) для внутренних приложений.
Собеседник РБК в еще одной российской IT-компании в качестве альтернативы называет прямую установку программ на устройства сотрудников.
Источник: rbc.ru
ФСТЭК выступила против использования AOSP-систем в государственном секторе из-за угроз кибербезопасности
Федеральная служба по техническому и экспортному контролю фактически запретила использовать операционные системы на базе Android Open Source Project в государственных компаниях и на объектах критической информационной инфраструктуры. Риски объясняются уязвимостями таких ИТ-систем, отсутствием технической поддержки AOSP в России, недекларированными функциями, а также открытым исходным кодом проекта.
Ограничить использование
Сотрудники Федеральной службы по техническому и экспортному контролю (ФСТЭК) сочли, что выстроенные на Android Open Source Project (AOSP) мобильные операционные системы (ОС) несут риски, если применять их в российских государственных корпорациях и на объектах критической информационной инфраструктуры (КИИ). Это следует из ответа ФСТЭК на запрос Ассоциации разработчиков программных продуктов «Отечественный софт».
Риски сотрудниками ФСТЭК объясняются уязвимостями AOSP-систем. Существует и ряд других причин. К примеру, отсутствие технической поддержки AOSP в России, недекларированные функции, а также открытый исходный код проекта.
«Учитывая изложенное, использование ОС на базе AOSP на объектах КИИ и в государственных корпорациях считаем нецелесообразным», — сказала начальник восьмого управления ФСТЭК России Елена Торбенко.
Федеральная служба по техническому и экспортному контролю (ФСТЭК) проводит процедуру сертификации при необходимости подтверждения соответствия разрабатываемого софта требованиям защиты персональных данных. Аттестация ФСТЭК регулирует работу не только разработчиков программного обеспечения, но и всех компаний, которые работают с конфиденциальной информацией.
AOSP представляет собой ОС с открытым исходным кодом, на ее основе создан ОС Android. Она может рассматриваться как «голая» версия ОС, без встроенных приложений и ИТ-сервисов Google, которые могут быть добавлены по лицензии. AOSP позволяет любому разрабатывать собственные версии Android, и на ее основе созданы популярные модификации, такие как HyperOS от Xiaomi и MIUI. Однако некоторые проекты, такие как новая ОС Huawei — HarmonyOS Next, больше не используют ИТ-компоненты от AOSP.
По информации ТАСС, развитие российских мобильных операционок надо ускорять - этот вывод в позиции ФСТЭК увидел глава комитета Ассоциации разработчиков программных продуктов (АРПП) по развитию экосистемы российских мобильных продуктов Олег Карпицкий. «Российским компаниям и государственным организациям важно не просто избегать уязвимых ИТ-решений, но и поддерживать развитие отечественных мобильных ИТ-платформ, способных обеспечить безопасность и соответствие регуляторным требованиям», — рассказал Карпицкий.
Ранее представители «Отечественного софта» предложили ФСТЭК описать критерии доверенности мобильных ОС на базе AOSP-систем и предназначенных для объектов КИИ и государственных корпораций, о чем писал РБК. ФСТЭК же в своем ответе сослалась на действующие требования по безопасности информации — использование ОС, согласно требованиям, должно соответствовать установленным уровням доверия.
Проблемы в безопасности
В 2024 г. эксперты по безопасности выявили уязвимость в каждом четвертом приложении на базе ОС Android, писали «Известия». Их нашли в библиотеке Android Jetpack, которая содержит ИТ-инструменты для создания программ от Google.
Библиотека Android Jetpack Navigation помогает разработчикам работать с интерфейсом приложения, а также облегчает процесс создания структуры навигации внутри программы. Найденная уязвимость позволяет открывать фрагменты внутри приложения и передать в него любые данные.
По словам генеральный директор «Альфа системс» Игоря Смирнова, подобная уязвимость может подвергнуть миллионы пользователей угрозе. «Разработчикам пора серьезно задуматься о безопасности своих приложений. Уязвимость может привести к манипуляциям с функционалом и даже к установке вредоносного ПО», — сказал он.
Универсальный Android
Проект AOSP, поддерживаемый Google, имеет открытый исходным код, его может скачать, скомпилировать и установить себе кто угодно, но в нем нет: синхронизации данных; возможностей тонкой настройки ИТ-системы; голосового поиска; некоторых дополнительных ИТ-сервисов. Программисты Google курирует его общее направление и основную часть разработки проекта. AOSP регулярно обновляется и включает в себя последние исправления ошибок и патчи безопасности для Android.
AOSP часто путают со стандартным Android, хотя на самом деле AOSP является лишь его основой. Все приложения в AOSP нужно ставить из сторонних источников или закачивать на телефон самостоятельно в виде файлов. А еще эта сборка не покажет самые быстрые результаты работы на телефоне — для этого нужно оптимизировать софт под конкретное железо.
В AOSP впервые появляется «лончер» т.е. программа, которая отвечает за графический интерфейс: иконки, рабочий стол, уведомления, панель настроек и переключение между приложениями.
Источник: cnews.ru
