А кто в России учит программировать PLC? ВУЗы? Учебные центры?

Вендоры? Как до них донести включение практик по безопасному программированию PLC в их программы обучения? Через каких регуляторов?

https://plc-security.com/index.html

Только отечественных производителей ПЛК и преподавателей не достаточно. Для эффективного контроля нужны SAST и DAST умеющие разбирать синтаксис ПЛК. Иначе получится как всегда, вот вам новые требования, методики будут через год/два, а средства реализации лет через 5-10, когда мы выпустим новые требования :)

Еще раз обращу внимание. Хотя это видно когда читаешь описание и сам документ: Top 20 Secure PLC Coding Practices собирают специалисты по АСУ ТП. И они понимают что есть в отрасли на самом деле, а чего нет. Специалисты по ИБ этот проект поддерживают и продвигают. Что что тут мир и взаимопонимание. Не нужно искать и разжигать конфронтацию

ситуация с ПО управления техпроцессами отличается от ситуации с распространённым (настольным и мобильным) ПО - информационная безопасность в первом случае может быть сравнительно легко обеспечена изоляцией отдельных сегментов сети. Поэтому упор нужно делать на выявлении ошибок, связанных с реализацией того или иного ТП

Таких инициатив существует множество, вы взяли лишь одну из. Многие положения в них пересекаются, а многие расходятся. Но к единству они не придут никогда. Что не отменяет их пользу. Статический анализ кода для ПЛК тоже существует. Еще много разных наворотов существует, жизнь сама расставляет их по своим местам.

У Сименса есть рекомендации на эту тему. Есть PLCOpen Coding guidelines. Есть рекомендации проекта ITER. Есть статьи CERN на тему статического анализа. Есть фирма Itris Automation, нынче Шнайдер, на эту же тему. Если бы они мне ещё платили за продвижение...

Хуже от этого не будет, если это интегрировано в SDLC

это, само собой, не панацея. Но хорошие продукты или подходы позволяют «вычесывать» неприятные баги. И как правильно написал коллега- это должно быть частью sdlc