В последние годы кибербезопасность окончательно перестала быть сугубо технической темой. Атаки через цепочки поставок программного обеспечения, уязвимости в открытом коде и ужесточение регуляторных требований заставили бизнес и государственные структуры смотреть на безопасность как на системную проблему. После инцидентов вроде Log4Shell стало очевидно: даже популярные и массово используемые библиотеки могут годами оставаться без надлежащего контроля.

В этом контексте все большую роль играют специалисты, которые работают не только с кодом, но и с архитектурой, стандартами и моделями оценки рисков. Один из них — Сергей Демьянчук, ведущий инженер-разработчик и технический лидер с более чем 16-летним опытом.

Справка об эксперте:

Сергей Демьянчук — Senior Software Engineering Technical Leader в Cisco (Security and Trust Organization), ведущий архитектор в сфере AppSec и управления жизненным циклом ПО. Как Voting Member комитетов OASIS (OpenEoX, CSAF), он является соавтором международных стандартов, разрабатываемых совместно с экспертами Microsoft, Oracle, Red Hat, Dell, NSA и CISA.

Сергей стал автором резонансного исследования, которое разоблачило "скрытый кризис" open-source: 42% активно используемых библиотек не имеют поддержки, что создает критические риски для мировой инфраструктуры. Его внедрение в Cisco ускорили доставку оповещений об угрозах на 98%, обеспечив мгновенную реакцию на инциденты для тысяч организаций по всему миру.

За свою карьеру Демьянчук работал в крупных технологических компаниях, в частности Cisco, Narvar, RxVantage, SoftServe, возглавлял инженерные команды до 12 специалистов и реализовывал проекты с высокими нагрузками.

Как инженерная логика трансформирует глобальную кибербезопасность: от диагностики скрытого кризиса open-source и создания международных стандартов вместе с техгигантами до разработки высоконагруженных продуктов, устанавливающих новые рекорды скорости и приватности, читайте в этом материале.

Диагностика кризиса: как 42% "невидимого" кода стали угрозой мировой инфраструктуре

Одним из ключевых направлений работы Демьянчука стала безопасность цепи поставок ПО. В рамках академического исследования, опубликованного в формате peer-reviewed, он предложил модель из 24 метрик для оценки жизненного цикла open-source проектов. Анализ показал, что около 42% активно используемого открытого программного обеспечения находится в неопределенном состоянии поддержки — без формального объявления end-of-life, но и без гарантий безопасности.

Эта цифра стала аргументом не только для научной дискуссии, но и для практических изменений в подходах к управлению рисками. Именно такие данные сегодня учитываются при разработке рекомендаций и стандартов в рамках OASIS, где Демьянчук имеет право голоса как технический эксперт.

От реакции к профилактике: роль международных стандартов OASIS

Работа в международных комитетах, по словам эксперта, существенно отличается от корпоративных проектов. Речь идет не о быстрых релизах, а о создании рамок, которые могут использоваться годами. Стандарты, над которыми работает OASIS, призваны помочь компаниям корректно оценивать состояние зависимостей, документировать риски и избегать ситуаций, когда критически важное ПО остается без ответственного сопровождения.

Этот подход напрямую связан с практическим опытом: в корпоративных проектах Демьянчук неоднократно сталкивался с тем, что формально "работающие" решения скрывали системные уязвимости, которые становились заметными только во время инцидентов.

Продуктовый манифест: рекордная скорость без компромиссов с приватностью

Параллельно с работой над стандартами Сергей Демьянчук запустил собственный продукт — сервис сокращения ссылок thin.ly. Архитектура сервиса спроектирована с учетом требований к приватности и минимизации данных. В отличие от большинства решений на рынке, thin.ly не передает IP-адреса пользователей сторонним геолокационным API. Аналитика формируется на уровне CDN, что позволило сократить время редиректа до менее чем 50 мс — против средних 200–300 мс в отрасли — и убрать класс рисков, связанных с передачей персональных данных третьим сторонам.

Такая архитектура дала и измеримый технический результат. Отказ от внешних API уменьшил количество сетевых вызовов, упростил модель угроз и снизил зависимость сервиса от сторонних поставщиков. Это напрямую повлияло на стабильность работы и соответствие требованиям по приватности без дополнительных компенсационных механизмов.

В итоге подход, который прослеживается и в стандартизационной работе, и в продуктовых решениях, сводится к одному принципу: безопасность перестает быть набором реакций и становится управляемой инженерной характеристикой системы. Именно такая логика позволяет совместить требования регуляторов, ожидания пользователей и техническую эффективность в глобальных программных продуктах.