Это сделано на базе решения Solar appScreener
«Ростелеком» создал первый в России доверенный репозиторий «РТК-Феникс», который проверен на безопасность open-source пакетов и библиотек, используемых при разработке программного обеспечения.
В последние годы происходит все больше кибератак в отношении веб-ресурсов госорганов РФ и отечественных компаний. Их основным вектором становятся уязвимости в корпоративных приложениях и сервисах собственной разработки, а также вследствие использования ПО с открытым исходным кодом.
Использование Open Source становится все менее безопасным. В код могут включать вредоносные недекларированные возможности, которые могут не только ухудшать работу ПО, но и провоцировать утечки персональных данных, нарушать работу сайтов и так далее. «РТК-Феникс» создан, чтобы снизить эти киберриски.
«РТК-Феникс» — это безопасный репозиторий, который представляет собой комплексное решение по проверке open-source пакетов, библиотек и их хранения. Сердце продукта — подсистема мониторинга безопасности кода по собственным методикам SOC «Ростелекома», включая самую актуальную версию Solar AppScreener и инструменты лидеров рынка ИБ России. Подсистема делает вывод о возможности, либо запрете использования пакетов и библиотек на основе результатов их проверки. Подсистема дополнительно проверяет все их дочерние, то есть транзитивные зависимости открытого кода.
Репозиторий работает в онлайн и офлайн режимах и поддерживает функционал проверки на безопасность, хранения и предоставления командам разработки безопасных артефактов в форматах: maven, pypi, deb, rpm, gem, npm, nuget, к которым в ближайшее время добавятся php, go, dart и docker.
«Создание безопасного репозитория стало логическим продолжением развития нашей экосистемы продуктов, внедряемых в процессы безопасной разработки. Синергия статического, динамического и компонентного анализов позволяет эффективно решать бизнес-задачи, используя в работе только проверенные приложения. Мы предлагаем рынку не просто технологию, а уже комплексное экосистемное решение, которое самостоятельно обнаружит все сторонние компоненты как с открытым кодом, так и в бинарном виде», — отметил генеральный директор ООО «Ростелеком-Солар» Игорь Ляпунов.
«Безопасный репозиторий создавался для использования внутренними командами компании, но учитывая необходимость в подобном функционале у всех разработчиков программного обеспечения в России, мы решили вывести продукт во внешний контур. Отдельно хочу отметить наличие в продукте уникальных для рынка ИБ функций, таких как проверку всех зависимостей используемых open-source библиотек, а также тот факт, что при переходе на работу с нашим репозиторием от команд не потребуется внесения изменений в процессы разработки», — рассказал старший вице-президент по информационным технологиям «Ростелекома» Кирилл Меньшов.
О компании
«РТК-Солар» обеспечивает и гарантирует кибербезопасность в организациях от малого бизнеса до федеральных органов власти. Ключевые направления деятельности — аутсорсинг ИБ, разработка собственных продуктов, комплексные проекты по кибербезопасности.
Компания предлагает сервисы первого и лидирующего в РФ коммерческого SOC — Solar JSOC, а также экосистему управляемых сервисов ИБ — Solar MSS. Линейка собственных продуктов включает DLP-решение Solar Dozor, шлюз веб-безопасности Solar webProxy, систему управления доступом Solar inRights, контроль привилегированных пользователей Solar SafeInspect, анализатор кода Solar appScreener, межсетевой экран нового поколения Solar NGFW и систему повышения эффективности труда Solar addVisor. Направление «Solar Интеграция» реализует масштабные проекты по созданию систем кибербезопасности, фокусируясь на защите территориально-распределенных объектов, центров обработки данных, а также объектов КИИ и АСУ ТП. Для повышения киберустойчивости всей России «РТК-Солар» развивает Национальный киберполигон, основным компонентом которого является платформа для практической отработки навыков защиты от киберугроз «Кибермир».
Штат компании — 1600+ специалистов. Имеются представительства в Москве, Санкт-Петербурге, Нижнем Новгороде, Самаре, Ростове-на-Дону, Томске, Хабаровске и Ижевске. Деятельность компании лицензирована ФСБ России, ФСТЭК России и Министерством обороны России.