«Ростелеком» создал доверенный репозиторий открытого кода
26.06.23 14:05
«Ростелеком» создал первый в России доверенный репозиторий «РТК-феникс». Содержащиеся в нем пакеты и открытые библиотеки были проверены на безопасность. О создании репозитория CNews сообщили представители компании «Ростелеком».
«В последнее время растет число кибератак на веб-ресурсы госорганов России и отечественных компаний», — отметили представители «Ростелекома». Самая распространенная причина уязвимостей корпоративных приложений и сервисов заключается в использовании Open Source при их разработке. В него могут включать вредоносные возможности, которые не только способны ухудшить работу ПО, но и спровоцировать утечки персональных данных, а также нарушить работу сайтов.
По мнению «Ростелекома», использование ПО с открытым исходным кодом становится «все менее безопасным». Для снижения киберрисков и был создан доверенный репозиторий.
Из чего состоит репозиторий
«РТК-феникс» — это репозиторий, который представляет собой комплексное решение по проверке Open Source пакетов, библиотек и их хранения. Продукт базируется на подсистеме мониторинга безопасности кода по собственным методикам SOC (Security Operation Center, центр управления безопасностью) «Ростелекома», включая анализатор кода приложений на наличие уязвимостей Solar AppScreener и другие ИБ-инструменты.
Подсистема делает вывод о возможности либо запрете использования пакетов и библиотек на основе результатов их проверки. ПО дополнительно проверяет все дочерние, то есть транзитивные зависимости открытого кода.
Репозиторий работает в онлайн- и офлайн-режимах и поддерживает функционал проверки на безопасность, хранение и предоставление командам разработки безопасных артефактов в форматах maven, pypi, deb, rpm, gem, npm, nuget, к которым в ближайшее время добавятся php, go, dart и docker.