Rambler's Top100
Все новости Новости компаний

«Ростелеком» создал безопасный репозиторий open-source библиотек

23 июня 2023

«Ростелеком» создал первый в России доверенный репозиторий «РТК-Феникс», который проверен на безопасность open-source пакетов и библиотек, используемых при разработке программного обеспечения. Репозиторий работает в онлайн- и офлайн-режимах и поддерживает функционал проверки на безопасность, хранения и предоставления командам разработки безопасных артефактов в форматах: maven, pypi, deb, rpm, gem, npm, nuget, к которым в ближайшее время добавятся php, go, dart и docker. Продукта использует подсистему мониторинга безопасности кода по собственным методикам SOC «Ростелекома», включая актуальную версию Solar AppScreener и инструменты лидеров рынка ИБ России.

В последние годы происходит все больше кибератак в отношении веб-ресурсов госорганов РФ и отечественных компаний. Основным вектором таких атак становятся уязвимости в корпоративных приложениях и сервисах собственной разработки, а также вследствие использования ПО с открытым исходным кодом. Использование Open Source становится все менее безопасным. В код могут включать вредоносные недекларированные возможности, которые могут не только ухудшать работу ПО, но и провоцировать утечки персональных данных, нарушать работу сайтов и так далее. «РТК-Феникс» создан, чтобы снизить эти киберриски.

«РТК-Феникс» — это безопасный репозиторий, который представляет собой комплексное решение по проверке open-source пакетов, библиотек и их хранения. Сердце продукта — подсистема мониторинга безопасности кода по собственным методикам SOC «Ростелекома», включая самую актуальную версию Solar AppScreener и инструменты лидеров рынка ИБ России. Подсистема делает вывод о возможности, либо запрете использования пакетов и библиотек на основе результатов их проверки. Подсистема дополнительно проверяет все их дочерние, то есть транзитивные зависимости открытого кода.

Репозиторий работает в онлайн и офлайн режимах и поддерживает функционал проверки на безопасность, хранения и предоставления командам разработки безопасных артефактов в форматах: maven, pypi, deb, rpm, gem, npm, nuget, к которым в ближайшее время добавятся php, go, dart и docker.

«Создание безопасного репозитория стало логическим продолжением развития нашей экосистемы продуктов, внедряемых в процессы безопасной разработки. Синергия статического, динамического и компонентного анализов позволяет нашим заказчикам эффективно решать бизнес-задачи, используя в работе только проверенные приложения. Мы предлагаем рынку не просто технологию, а уже комплексное экосистемное решение, которое самостоятельно обнаружит все сторонние компоненты, как с открытым кодом, так и в бинарном виде», - отметил генеральный директор ООО «Ростелеком-Солар» Игорь Ляпунов.

«Безопасный репозиторий создавался для использования внутренними командами компании, но учитывая необходимость в подобном функционале у всех разработчиков программного обеспечения в России, мы решили вывести продукт во внешний контур. Отдельно хочу отметить наличие в продукте уникальных для рынка ИБ функций, таких как проверку всех зависимостей используемых open-source библиотек, а также тот факт, что при переходе на работу с нашим репозиторием от команд не потребуется внесения изменений в текущие процессы разработки», — рассказал старший вице-президент по информационным технологиям «Ростелекома» Кирилл Меньшов.

Источник: Ростелеком

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!

Оставить свой комментарий:

Для комментирования необходимо авторизоваться!

Комментарии по материалу

Данный материал еще не комментировался.

Продолжение использования сайта пользователем интерпретируется как согласие на обработку фрагментов персональных данных (таких, как cookies) для целей корректной работы сайта.

Согласен