Компания “Ростелеком” разработала первый в России репозиторий “РТК-феникс” , содержащий пакеты и открытые библиотеки, которые прошли проверку на безопасность. Об этом рассказали представители “Ростелекома”.
Веб-ресурсы государственных органов РФ и российских компаний все чаще подвергаются кибератакам. Одной из причин этого являются уязвимости в корпоративных приложениях и сервисах собственной разработки, а также использование ПО с открытым исходным кодом, которое становится все менее безопасным. В Open Source зачастую встраивают вредоносные возможности, которые могут не только снижать качество работы ПО, но и способствовать утечкам личных данных, нарушать функционирование сайтов и так далее. Для уменьшения этих киберрисков и был разработан репозиторий.
Он ориентирован на российский рынок. В основе “РТК-феникс” лежит решение, способное само обнаружить все сторонние компоненты, как с открытым кодом, так и в бинарном виде.
“РТК-феникс” – это репозиторий, который является комплексным решением по проверке Open Source пакетов, библиотек и их хранения. Продукт основан на подсистеме мониторинга безопасности кода по собственным методикам SOC (Security Operation Center, центр управления безопасностью) “Ростелекома”, включая анализатор кода приложений на наличие уязвимостей Solar AppScreener и другие ИБ-инструменты.
Подсистема делает заключение о возможности либо запрете использования пакетов и библиотек на основе результатов их проверки. ПО дополнительно проверяет все дочерние, то есть транзитивные зависимости открытого кода.
Репозиторий работает в онлайн- и офлайн-режимах и поддерживает функционал проверки на безопасность, хранение и предоставление командам разработки безопасных артефактов в форматах maven, pypi, deb, rpm, gem, npm, nuget, к которым в ближайшее время добавятся php, go, dart и docker.
Идея создания российского репозитория ПО с открытым кодом впервые прозвучала в сентябре 2021 года от премьер-министра Михаила Мишустина. В октябре 2022 года Российский фонд развития информационных технологий (РФРИТ) объявил о своем вовлечении в проект (это закреплено постановлением правительства).
Эксперимент по созданию репозитория начался 21 марта 2023 года и завершится во II квартале 2024 года. На эту цель Минцифры предложило выделить 1,3 млрд руб. из фонда “Росинфокоминвест”. Получателем этих средств станет РФРИТ, который затем передаст их в АНО “Открытый код” (среди учредителей – VK, “Ростелеком”, университет “Иннополис”, группа Т1 и другие организации). При этом, АНО будет формировать техническое задание по созданию репозитория.