«Ростелеком» создал безопасный репозиторий open-source библиотек
«Ростелеком» создал первый в России доверенный репозиторий «РТК-Феникс», который проверен на безопасность open-source пакетов и библиотек, используемых при разработке программного обеспечения. Репозиторий работает в онлайн- и офлайн-режимах и
поддерживает функционал проверки на безопасность, хранения и
предоставления командам разработки безопасных артефактов в форматах:
maven, pypi, deb, rpm, gem, npm, nuget, к которым в ближайшее время
добавятся php, go, dart и docker. Продукта использует подсистему мониторинга безопасности кода по
собственным методикам SOC «Ростелекома», включая актуальную версию
Solar AppScreener и инструменты лидеров рынка ИБ России.
В последние годы происходит все больше кибератак в отношении веб-ресурсов госорганов РФ и отечественных компаний. Основным вектором таких атак становятся уязвимости в корпоративных приложениях и сервисах собственной разработки, а также вследствие использования ПО с открытым исходным кодом. Использование Open Source становится все менее безопасным. В код могут включать вредоносные недекларированные возможности, которые могут не только ухудшать работу ПО, но и провоцировать утечки персональных данных, нарушать работу сайтов и так далее. «РТК-Феникс» создан, чтобы снизить эти киберриски.
«РТК-Феникс» — это безопасный репозиторий, который представляет собой комплексное решение по проверке open-source пакетов, библиотек и их хранения. Сердце продукта — подсистема мониторинга безопасности кода по собственным методикам SOC «Ростелекома», включая самую актуальную версию Solar AppScreener и инструменты лидеров рынка ИБ России. Подсистема делает вывод о возможности, либо запрете использования пакетов и библиотек на основе результатов их проверки. Подсистема дополнительно проверяет все их дочерние, то есть транзитивные зависимости открытого кода.
Репозиторий работает в онлайн и офлайн режимах и поддерживает функционал проверки на безопасность, хранения и предоставления командам разработки безопасных артефактов в форматах: maven, pypi, deb, rpm, gem, npm, nuget, к которым в ближайшее время добавятся php, go, dart и docker.
«Создание безопасного репозитория стало логическим продолжением развития нашей экосистемы продуктов, внедряемых в процессы безопасной разработки. Синергия статического, динамического и компонентного анализов позволяет нашим заказчикам эффективно решать бизнес-задачи, используя в работе только проверенные приложения. Мы предлагаем рынку не просто технологию, а уже комплексное экосистемное решение, которое самостоятельно обнаружит все сторонние компоненты, как с открытым кодом, так и в бинарном виде», - отметил генеральный директор ООО «Ростелеком-Солар» Игорь Ляпунов.
«Безопасный репозиторий создавался для использования внутренними командами компании, но учитывая необходимость в подобном функционале у всех разработчиков программного обеспечения в России, мы решили вывести продукт во внешний контур. Отдельно хочу отметить наличие в продукте уникальных для рынка ИБ функций, таких как проверку всех зависимостей используемых open-source библиотек, а также тот факт, что при переходе на работу с нашим репозиторием от команд не потребуется внесения изменений в текущие процессы разработки», — рассказал старший вице-президент по информационным технологиям «Ростелекома» Кирилл Меньшов.
Источник: Ростелеком
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!
Адрес: 105082, Россия, г. Москва, 2-й Ирининский пер, д. 3
Оставить свой комментарий:
Комментарии по материалу
Данный материал еще не комментировался.