Доверенный репозиторий ПО open source «Ростелекома»

Компания «Ростелеком» представила первый в России доверенный репозиторий «РТК-Феникс», который проверен на безопасность пакетов и библиотек open source, используемых при разработке ПО.

Как отмечают в компании, число кибератак на веб-ресурсы отечественных компаний связано в том числе с ПО с открытым исходным кодом, использование которого становится все менее безопасным. В open source нередко включают вредоносные возможности, которые могут не только ухудшать работу ПО, но и провоцировать утечки персональных данных, нарушать работу сайтов. Репозиторий «РТК-Феникс» должен снизить эти киберриски.

«РТК-Феникс» представляет собой комплексное решение по проверке open source пакетов, библиотек и их хранения. Основа продукта – подсистема мониторинга безопасности кода по собственным методикам SOC «Ростелекома», включая самую актуальную версию Solar AppScreener и другие инструменты разработчиков средств ИБ. Подсистема делает вывод о возможности либо запрете использования пакетов и библиотек на основе результатов их проверки. ПО дополнительно проверяет все дочерние, т. е. транзитивные зависимости открытого кода.

Репозиторий работает в онлайн- и офлайн-режимах и поддерживает функционал проверки на безопасность, хранение и предоставление командам разработки безопасных артефактов в форматах maven, pypi, deb, rpm, gem, npm, nuget, к которым в ближайшее время добавятся php, go, dart и docker.

Безопасный репозиторий создавался для использования внутри компании, поясняют в «Ростелекоме»,  но учитывая необходимость в подобном функционале у всех разработчиков ПО в России, компания решила вывести «РТК-Феникс» во внешний контур. В продукте есть специальные функции для рынка ИБ, такие как проверка всех зависимостей используемых open source библиотек. Кроме того, что при переходе на работу с репозиторием не потребуется вносить изменения в текущие процессы разработки.