«Ростелеком» объявил о создании доверенного репозитория «РТК-Феникс», который предназначен для проверки на безопасность пакетов и библиотек с открытыми кодами, используемых при разработке программного обеспечения. Безопасность пакетов репозитория обеспечивается анализатором кодов Solar appScreener, который совмещает в себе статический (SAST), динамический(DAST) и компонентный (SCA) анализаторы программного кода. Репозиторий работает в онлайн и офлайн режимах и поддерживает функционал проверки на безопасность, хранения и предоставления командам разработки безопасных кодов и библиотек в форматах: maven, pypi, deb, rpm, gem, npm, nuget. Предполагается в ближайшее время добавить к ним еще поддержку технологий php, go, dart и docker.
Борьба с уязвимостями
В последние годы происходит все больше кибератак в отношении веб-ресурсов госорганов РФ и отечественных компаний. Основным вектором таких атак становятся уязвимости в корпоративных приложениях и сервисах собственной разработки, а также вследствие использования ПО с открытым исходным кодом. Использование свободно распространяемого ПО, сообщества которого также втягиваются в информационное противостояние, также могут представлять угрозу. В код могут включаться вредоносные недекларированные возможности, которые не только ухудшают работу приложений, но и провоцируют утечки персональных данных, нарушают работу сайтов и представляют другие опасности для пользователей.
«РТК-Феникс» — это безопасный репозиторий, который представляет собой комплексное решение по проверке различных компонент с открытыми кодами и обеспечение их защищенного хранения. Сердце продукта — подсистема мониторинга безопасности кода по методикам, разработанных специалистами SOC «Ростелекома», которая включает проверку программного обеспечения с помощью актуальной версии Solar AppScreener и других инструментов лидеров рынка ИБ России. Подсистема делает вывод о возможности, либо запрете использования пакетов и библиотек на основе результатов их проверки, а также проверяет все транзитивные зависимости открытого кода. «РТК-Феникс» создан, чтобы снизить риски использования компонент с открытыми исходными кодами.
«Безопасный репозиторий создавался для использования внутренними командами компании, но учитывая необходимость в подобном функционале у всех разработчиков программного обеспечения в России, мы решили вывести продукт во внешний контур, — объявил старший вице-президент по информационным технологиям «Ростелекома» Кирилл Меньшов. — Отдельно хочу отметить наличие в продукте уникальных для рынка ИБ функций, таких как проверку всех зависимостей используемых свободно-распространяемых библиотек, а также тот факт, что при переходе на работу с нашим репозиторием от команд не потребуется внесения изменений в текущие процессы разработки».
На пути к безопасной разработке
«Создание безопасного репозитория стало логическим продолжением развития нашей экосистемы продуктов, внедряемых в процессы безопасной разработки, — пояснил важность проекта генеральный директор ООО «Ростелеком-Солар» Игорь Ляпунов. — Синергия статического, динамического и компонентного анализов позволяет нашим заказчикам эффективно решать бизнес-задачи, используя в работе только проверенные приложения. Мы предлагаем рынку не просто технологию, а уже комплексное экосистемное решение, которое самостоятельно обнаружит все сторонние компоненты, как с открытым кодом, так и в бинарном виде». Появление репозитория «РТК-Феникс», скорее всего, положительно скажется на улучшении качества отечественного ПО, которое в большой мере базируется именно на проектах с открытыми кодами.
