«Ростелеком» создал на базе своих мощностей безопасный и доверенный репозиторий проверенных и популярных Open Source пакетов и библиотек, наиболее часто используемых при разработке ПО, под названием «РТК-Феникс».
В компании пояснили, что в последнее время в мире растёт число кибератак на веб-ресурсы госорганов РФ и отечественных компаний, а чаще всего это происходит из-за уязвимостей в корпоративных приложениях и сервисах собственной разработки, а также при использовании ПО с открытым исходным кодом. По мнению «Ростелеком», использование сторонних Open Source проектов становится всё менее безопасным, так как там текущие разработчики по разным причинам нередко включают вредоносные возможности, которые могут не только ухудшать работу ПО, но и провоцировать утечки персональных данных, нарушать работу сайтов и так далее. В «Ростелеком» уточнили, что репозиторий «РТК-Феникс» создан специально для того, чтобы снизить подобные киберриски для компаний внутри страны.«РТК-Феникс» — это безопасный репозиторий, который представляет собой комплексное решение по проверке Open Source пакетов, библиотек и их хранения. Сердце продукта — подсистема мониторинга безопасности кода по собственным методикам SOC «Ростелекома», включая самую актуальную версию Solar AppScreener и другие инструменты лидеров рынка информационной безопасности России. Подсистема делает вывод о возможности либо запрете использования пакетов и библиотек на основе результатов их проверки. ПО дополнительно проверяет все дочерние, то есть транзитивные зависимости открытого кода.
Репозиторий «РТК-Феникс» работает в онлайн- и офлайн-режимах и поддерживает функционал проверки на безопасность, хранение и предоставление командам разработки безопасных артефактов в форматах maven, pypi, deb, rpm, gem, npm, nuget, к которым в ближайшее время добавятся php, go, dart и docker.
Доступ к репозиторию «РТК-Феникс» предоставляется юрлицам РФ по отдельному запросу в «РТК-Солар».
«Это безопасный репозиторий, который изначально создавался для использования внутри компании. Учитывая необходимость в подобном функционале у всех разработчиков программного обеспечения в России, мы решили вывести “РТК-Феникс” во внешний контур. Отдельно хочу отметить наличие в продукте уникальных для рынка информационной безопасности функций, таких как проверку всех зависимостей используемых Open Source библиотек. Кроме того, что при переходе на работу с нашим репозиторием не потребуется внесения изменений в текущие процессы разработки ПО», — пояснил старший вице-президент по информационным технологиям «Ростелекома» Кирилл Меньшов.
В конце мая правительство Москвы открыло доступ к библиотеке разработок с открытым кодом Mos.Hub (МосХаб) — аналогу GitHub и GitLab. Информационным сопровождением проекта Mos.Hub занимаются специалисты Департамента информационных технологий Москвы (ДИТ). В текущее время проект закончил закрытое тестирование площадки и открыт для работы всем пользователям на базе системы авторизации через Mos ID. Цели проекта Mos.Hub — возможность предоставления российским разработчикам открытой площадки для создания новых полезных продуктов, сохранение конкурентоспособности российских решений, помощь программистам в обретении независимости от аналогичных иностранных платформ. Mos.Hub — это часть большой работы по формированию столичной экосистемы разработки программного обеспечения. Страница проектов «Обзор МосХаб».image
Источник новости: habr.com