احراز اصالت نرم‌افزار در کشور تسهیل می‌شود

به گزارش روابط عمومی سازمان نظام صنفی رایانه‌ای کشور، در همین زمینه گفت‌و‌گویی با علی آذرکار رئیس شورای انتظامی تجدیدنظر و دبیر سابق سازمان نصر استان تهران داشتیم تا آخرین وضعیت و پیشرفت‌های پروژه مذکور بررسی و تشریح شود.

ابتدا درباره سابقه موضوعات مربوط به تأیید فنی و احراز اصالت نرم‌افزارها توضیح دهید.
در سال‌های قبل شورای عالی انفورماتیک فرآیندی را برای ثبت و تأیید فنی نرم‌افزارها تدوین و اجرا کرده بود. هدف اصلی این فرآیند، ساماندهی به ثبت حقوق نرم‌افزارها بود، به‌طوری که پدیدآورندگان با ارائه اسناد و متن برنامه می‌توانستند محصول خود را ثبت کنند. این اقدام بیشتر برای حل دعاوی حقوقی احتمالی در آینده طراحی شده بود. با این حال، تجربه نشان داد که این هدف به طور کامل محقق نشد و تعداد دعاوی مطرح‌شده کم بود. حتی در برخی موارد متن برنامه نیز ارائه نمی‌شد و با توجه به تغییرات مداوم نرم‌افزارها، این روش کفایت نمی‌کرد.

قانون ارتقای سلامت نظام اداری و مقابله با فساد، چگونه به احراز اصالت نرم‌افزار پرداخته است؟
با تصویب این قانون در سال ۱۳۹۰، نرم‌افزارها باید الزامات اجرای قانون را در هنگام طراحی رعایت کنند. در ابتدا تصور می‌شد که این قانون تنها برای نرم‌افزارهای مالی و اداری باشد، اما نامه‌ای از سوی سازمان فناوری اطلاعات دامنه این الزام را به تمامی نرم‌افزارها گسترش داد. نتیجه این شد که پرداخت‌های دولتی به شرکت‌های نرم‌افزاری مشروط به تأیید احراز اصالت نرم‌افزار شد که مشکلاتی برای شرکت‌ها ایجاد کرد.

در مورد پروژه «ارتقای نظام رتبه‌بندی و صدور گواهینامه‌های فنی و اصالت نرم‌افزار» که به تازگی مطرح شده است، توضیح دهید.
سازمان نظام صنفی رایانه‌ای در سال ۱۴۰۲ با توجه به مشکلات شرکت‌های نرم‌افزاری در فرآیند ثبت و تأیید فنی و احراز اصالت، پیشنهادی به سازمان فناوری اطلاعات ارائه داد. این پیشنهاد در الکامپ ۱۴۰۲ به قرارداد تبدیل شد و از شهریور ۱۴۰۲ کار اجرایی آن شروع شد. هدف این پروژه، بازنگری و به‌روزرسانی فرآیندهای تأیید و احراز اصالت نرم‌افزارها بر اساس شرایط اجرایی جدید کشور است.

چرا دستورالعمل نظام فنی-اجرایی که توسط شورای عالی انفورماتیک تدوین شد، نیاز به بازنگری داشت؟
این دستورالعمل بیش از ۲۰۰ صفحه بود و شامل طبقه‌بندی نرم‌افزارها و معیارهای فنی می‌شود. معیارهای غیرکارکردی که در آن توضیح داده شده‌اند، ارتباط مستقیمی با احراز اصالت ندارند و قابل راستی‌آزمایی هم نیستند با توجه به الزام دستگاه‏های دولتی برای اخذ گواهینامه اصالت نرم‏افزار و نیاز شرکت‏ها به تسریع در این کار، سازمان نظام صنفی رایانه‏ای با نگرش بازنگری آیین‏نامه‏ها و دستورالعمل‏های موجود در قالب قوانین بالادستی، تلاش کرد تا ضمن تسهیل در این فرایند، برخی از مشکلات اعضای صنف را بر طرف کند.

تفاوت بین ویژگی‌های کارکردی و غیرکارکردی نرم‌افزارها چیست؟
ویژگی‌های کارکردی به حوزه کسب‌وکار نرم‌افزار مربوط می‌شود، مثلاً صدور سند در نرم‌افزار حسابداری، این ویژگی‌ها معمولاً توسط شرکت‌های تخصصی هر حوزه تعیین می‌شوند. اما ویژگی‌های غیرکارکردی جنبه عمومی‌تری دارند و مربوط به مسائلی مانند قابلیت اطمینان، امنیت و نگهداری هستند. این استانداردها معمولاً توسط نهادهایی مانند ISO تدوین می‌شوند.

این ویژگی ها توسط چه مرجع یا مراجعی تدوین می‏‌شود؟
موضوعات غیرکارکردی توسط نهادهای استانداردگذار مانند ISO تدوین می‌شوند. استانداردهای ISO/IEC 25000 به نیازمندی‌های کیفی محصولات و سامانه‌های نرم‌افزاری اختصاص دارند و در ابتدا بر کیفیت نرم‌افزار متمرکز بودند، اما به مرور موضوعاتی مانند «کیفیت داده» نیز به آنها اضافه شد. این استانداردها در ۶ محور اصلی شامل مدیریت کیفیت، مدل کیفیت، سنجه‌های کیفیت، نیازمندی‌های کیفی، ارزشیابی کیفیت و بخش‌های توسعه‌ای طبقه‌بندی شده‌اند.

کدام استاندارد بیشتر با این پروژه مرتبط است؟
استاندارد ISO/IEC 25010 که مدل کیفی محصول نرم‌افزاری را تعریف می‌کند، مد نظر بوده است. این استاندارد ویژگی‌های کیفی محصول را به ۸ ویژگی اصلی تقسیم می‌کند که شامل تناسب کارکردی، امنیت، قابلیت نگهداری و غیره می‌شود. با این حال، ارزیابی کیفی نرم‌افزار به منابع و تجهیزات خاص نیاز دارد که امیدواریم در آینده سازمان فناوری اطلاعات بتواند آزمایشگاه‌هایی برای این کار ایجاد کند.

دستورالعمل پیشنهادی برای ارزیابی اصالت نرم‌افزار در این پروژه چیست؟
در این پروژه معیارهایی برای احراز اصالت نرم‌افزار مشخص شده است. دستورالعمل جدید ساده‌تر و شفاف‌تر است و ارزیابی توسط ارزیابان تاییدشده انجام خواهد شد که سازمان فناوری اطلاعات فضای لازم برای این ارزیابی را فراهم خواهد کرد.