- В России утвердили стандарт мобильных приложений, но пока от него мало толку. И вот почему
- Никто не спросил отраслевых экспертов
- ГОСТ выгоден компаниям с госзаказами, но не всему рынку
- Использование «модных стандартов» без учёта деталей
- Открытый вопрос: чем чревато несоответствие ГОСТу?
- Стандарт разработки мобильных приложений (Нацстандарт 277-2018)
- 2018: Утвержден предварительный стандарт разработки мобильных приложений
- Примечания
В России утвердили стандарт мобильных приложений, но пока от него мало толку. И вот почему
Росстандарт утвердил предварительный национальный стандарт для мобильных приложений. В документе — 87 требований к качеству мобильных сервисов, в том числе к производительности, функциональности, удобству пользования и безопасности. Как отмечает заместитель руководителя Роскачества Илья Лоевский, раньше в России не было ГОСТов в области мобильных приложений — разработчики ориентировались на гайдлайны корпораций, в частности Google и Аpple.
Так, мобильное приложение должно требовать «абсолютный минимум разрешений» для работы и объяснять, зачем они нужны. Также у сервиса должна быть «однозначно трактуемая политика конфиденциальности». Кроме того, приложение должно информировать пользователей, к каким личным данным оно получает доступ, какие сведения собираются и передаются, плюс как они используются и хранятся, как обеспечивается их безопасность и кто может получить к ним доступ. У пользователя должна быть возможность отказаться от сбора данных и контролировать их обработку разработчиком.
По стандарту все персональные данные пользователей должны храниться в России.
Приложение должно рассказывать пользователям, используются ли их персональные данные для рекламы. Тем временем у платных сервисов должна быть функция бесплатного пробного ознакомления «вне зависимости от бизнес-модели». Среди других требований — отсутствие критических уязвимостей, обновления не реже раза в год, ненавязчивость рекламы и оперативные ответы на вопросы пользователей.
В Роскачестве сказали, что стандарт должен стать ориентиром для компаний при разработке мобильных продуктов. ГОСТ планируют ввести в действие c 1 октября. Статус предварительного стандарта означает, что его могут использовать все заинтересованные лица, в том числе разработчики и организации стран-членов Евразийского экономического союза. Через три года стандарт должен получить статус «ГОСТ Р» — то есть стать бессрочным.
Никто не спросил отраслевых экспертов
По мнению старшего разработчика Node.js Юрия Бушева, сейчас проверку на соответствие требованиям стандарта прошли бы около 60% приложений. Тем временем другой собеседник Коммерсанта из ИТ-отрасли подтверждает, что, действительно, большая часть сервисов хочет получить как можно больше персональных данных пользователей, чтобы потом их капитализировать. Однако он назвал сделанную в ГОСТе попытку оградить человека от этого явления «скромной».
Всё потому, что ГОСТы необязательны к исполнению. При этом данный стандарт включает «много очевидных вещей», но в нём почти нет технических требований. По мнению анонимного собеседника Коммерсанта, «этого документа вообще не касалась рука человека с ИТ-образованием». В то же время не исключено, что его рекомендуют к исполнению разработчикам приложений для госкомпаний, например, для Почты России.
Директор производства Redmadrobot Артур Сахаров также задался вопросом, как формировался список требований:
«Почему не привлекли отраслевых экспертов, коммерческие компании? Если мы хотим получить действительно рабочий стандарт, нужно привлечь к его созданию тех, кто работает на рынке — тогда это имеет смысл».
ГОСТ выгоден компаниям с госзаказами, но не всему рынку
Технический директор AGIMA Андрей Рыжкин считает, что «пока к разработке подобных документов не привлекают экспертов отрасли, всё это похоже скорее на очередной этап подготовки к блокировкам, чем на попытку облегчить жизнь простым пользователям». По его мнению, некоторые формулировки стандарта выглядят попросту комично:
«„Мобильное приложение не должно иметь критических уязвимостей“ — этот момент регулируется ещё на этапе review в вендорских сторах (App Store и Google Play); или „мобильное приложение должно хранить личную информацию пользователей в России“, — это уже регулируется законодательством, зачем это положение повторно выносить в перечень — непонятно».
Но зато требование соответствовать рекомендациям, вероятно, появится во всех государственных тендерах:
«Мы заметим, как студии начнут вешать себе бейджик „Соответствует ГОСТу“ и поднимут ценник».
По мнению руководителя Mobifitness Владимира Старкова, государственным заказчикам стандарт был необходим, чтобы ориентироваться на него, а не на гайдлайны Google и Apple. При этом он утверждает, что, конечным потребителям приложений и бизнесу этот документ не нужен.
«Рынку такой документ полезен ровно в той степени, чтобы соответствовать ожиданиям госзаказчиков».
Использование «модных стандартов» без учёта деталей
Гендиректор Globus mobile Павел Короткий считает, Росстандарт воспользовался «модными стандартами» разработки типа ISO или OWASP. Пока неясно, насколько адекватно эти требования раскрыты и в какой мере должны быть выполнены при разработке среднестатистического приложения.
«Например, OWASP содержит в себе большое число советов и рекомендаций по безопасной разработке приложений. При этом его полная реализация значительно — по нашему опыту, до 30% — увеличивает бюджет проекта».
По мнению гендиректора MobiSharks (Kokoc Group) Игоря Зуева, на рынке нет необходимости в стандартизации мобильных приложений. «Прежде всего, разработчики ориентируются на требования операционных систем и магазинов приложений. От гайдлайнов сторов напрямую зависит попадание приложения в магазин и его ранжирование в рейтингах. Тогда как ГОСТ не влияет на положение сервиса в магазине приложений».
Открытый вопрос: чем чревато несоответствие ГОСТу?
Менеджер по внутреннему продукту BestDoctor Павел Виноградов считает, что крупным компаниям стандарт вряд ли будет интересен, однако он может оказаться полезным для молодых разработчиков. При этом он также подчёркивает, что документ содержит много размытых и спорных требований.
Директор mobile.SimbirSoft Дмитрий Петерсон говорит, что его «пугает требование с отсутствием критических уязвимостей, потому что немногие компании закладывают их при разработке. Соответственно, если кто-то найдёт такие приложения, то можно будет говорить о несоответствии ГОСТу, а это может привести к дальнейшим проблемам».
Наконец, стандарт вряд ли поможет и пользователям приложений в решении спорных случаев. Управляющий партнёр коллегии адвокатов «Муранов, Черняков и партнёры» Дмитрий Черняков подчёркивает, что «у потребителей нет права требовать от производителя или продавца соответствовать стандарту».
Материал подготовлен совместно с PR-агентством Rassvet.digital
О диджитале в удобном формате ➜ читайте нас в Telegram
Стандарт разработки мобильных приложений (Нацстандарт 277-2018)
Приказом Росстандарта 10 июля 2018 года утвержден национальный стандарт 277-2018 «Российская система качества. Сравнительные испытания мобильных приложений для смартфонов». Документ вводится в действие c 1 октября 2018 года сроком на 3 года. В 2021 году стандарту присвоят статус ГОСТ Р.
2018: Утвержден предварительный стандарт разработки мобильных приложений
Государство утвердило предварительный стандарт разработки мобильных приложений, говорится в сообщении Росстандарта, опубликованном на сайте ведомства 10 июля 2018 года. Требования носят рекомендательный характер, но, по словам авторов, должны будут стать «ориентиром при разработке».
Разработанный АНО «Роскачество» и утверждённый Росстандартом документ насчитывает 87 требований к функциональности приложений, в том числе к производительности, функциональности, удобству пользования и безопасности.
В описании стандарта говорится, что мобильное приложение должно требовать «абсолютный минимум разрешений» для работы, а также объяснять, зачем они нужны.
Кроме этого, приложение должно предоставлять пользователю «однозначно трактуемую политику конфиденциальности», информировать его, к каким личным сведениям оно получает доступ, какие данные собираются и передаются, как они используются и хранятся, как обеспечивается их безопасность и кто может получить к ним доступ. Ранкинг TAdviser100: Крупнейшие ИТ-компании в России 2023
За пользователем должно сохраняться право контролировать сбор данных или отказываться от него вовсе. Отдельно оговаривается, что все персональные данные пользователей должны храниться в России. Стандарт предписывает возможность бесплатного пробного ознакомления «вне зависимости от бизнес-модели». Что касается безопасности, то в стандарте заявлены отсутствие критических уязвимостей, обновление не реже раза в год, отсутствие «навязчивых» рекламных материалов и т.д.
На рынке стандарт в его нынешнем виде встречен без особого энтузиазма. Основная претензия — это обилие «общих мест», спорных и размытых требований и при этом минимум технической конкретики.
Участники рынка отмечают также, что лишь немногим более половины существующих приложений прошли бы проверку на соответствие утвержденному стандарту.
Стандарт должен будет войти в действие с 1 октября. Поскольку он рассматривается как национальный, им смогут воспользоваться все заинтересованные структуры, включая разработчиков из стран Евразийского экономического союза. [1] Кроме того, предполагается, что в 2021 году, после апробации, стандарту будет присвоен статус ГОСТ Р.