«Единый ЦУПИС» продолжает миграцию на российскую Java
Как стало известно CNews, «Единый ЦУПИС» внедрил доверенный репозиторий компонентов Java – Axiom Repo российской компании Axiom JDK.
«Единый ЦУПИС» – кредитная организация, выполняющая функцию единого центра учета переводов ставок букмекерских контор и тотализаторов. Для компаний регулируемой индустрии развлечений подключение к сервисам организации является обязательным.
В основе ключевых финтех-сервисов «Единого ЦУПИС» лежат Java-компоненты. В апреле 2023 г. CNews писал о завершении их перевода на отечественную Java-платформу Axiom JDK Pro.
До подключения к Axiom Repo внешние зависимости организация получала из публичных репозиториев. Решение его базе призвано обеспечить безопасность цепочек поставки артефактов – компонентов на основе скомпилированного кода на языке программирования Java – и повышение защищенности процессов разработки высоконагруженных систем платежной отрасли.
По данным «Информзащиты», за первые восемь месяцев 2025 г. число атак на цепочки поставок компаний в России увеличилось на 110%, а доля происшествий с участием третьих сторон достигла 30% от всех киберинцидентов. В числе факторов, повышающих риск возникновение инцидентов такого рода, эксперты компании называют широкое использование открытого кода.
Результаты проекта
В рамках первого этапа внедрения Axiom Repo «Единый ЦУПИС» перевел группу финтех-сервисов, обеспечивающих проведение платежей, на платформу Axiom JDK. Именно они формируют наиболее нагруженный и критичный контур системы. По собственным данным организации, ее платежные сервисы обслуживают более 25 млн кошельков клиентов и проводит более 2,5 млн платежей в сутки.
Интеграция инфраструктуры разработки с репозиторием была настроен единожды, после чего все процессы сборки сервисов продолжили работать в обычном режиме.
Проект по внедрению Axiom Repo был реализован собственными силами организации за один месяц, утверждают в «Едином ЦУПИС». Объем финансовых расходов на его реализацию стороны не уточняют, однако в Axiom JDK рассказали CNews, что пользование Axiom Repo обходится ее клиентам в 7 млн руб. в год.
«В результате на Axiom Repo переведено более 200 отдельных сервисов, переключено более 400 приватных репозиториев», – заявил в разговоре с CNews Александр фон Розен, технический директор, член правления кредитной организации.
В Axiom JDK рассказали CNews, что по запросу «Единого ЦУПИС» в репозиторий было добавлено несколько десятков Java-библиотек. В целом же он пополняется регулярно со скоростью около 1 тыс. артефактов в месяц.
«Ежедневно мы выпускаем более 20 релизов – столь высокий темп разработки ПО заставляет обращать особое внимание на соответствие подключаемых публичных библиотек как формальным регуляторным требованиям, так и фактическим практикам информационной безопасности. В этой связи внедрение Axiom Repo – не просто еще один шаг на пути поддержки российских технологических компаний, но и отличный способ повысить защищенность нашей платежной платформы», – отметил Александр фон Розен.
В дальнейшем «Единый ЦУПИС» намерен перевести всю Java-разработку на Axiom Repo, а также продолжить переход на технологии экосистемы Axiom JDK.
Подробнее об Axiom Repo
Axiom Repo является доверенным промышленным репозиторием для Java-компонентов, совместимым с популярными фреймворками для автоматизации сборки Java-проектов – Maven и Gradle. Он обеспечивает поставку более чем 4 тыс. библиотек и бинарных артефактов, собираемых в воспроизводимой проверяемой среде с применением криптографической подписи на каждом этапе.
С июля 2025 г. продукт входит в реестр российского ПО и интегрируется с продуктами экосистемы Axiom JDK, основной которой является одноименная платформа разработки и исполнения Java, в свою очередь представляющая собой дистрибутив OpenJDK – бесплатной реализации платформы корпорации Oracle Java SE с открытым исходным кодом
«Каждый артефакт собирается из исходных кодов с обязательной проверкой лицензий, аудитом безопасности и соблюдением требований ГОСТ по безопасной разработке. Особое внимание уделяется воспроизводимости сборок, что позволяет исключить скрытые или непредсказуемые изменения в коде. На Java в России работают порядка 90% финтеха и 70% корпоративных систем, поэтому для защиты цепочек поставок ПО особенно важен репозиторий Java», – поясняют в Axiom JDK.
Проверка артефактов, размещаемых в репозитории, специалисты Axiom JDK включает их статический, динамический анализ, а также сканирование антивирусным ПО. Кроме того, клиентов посредством API уведомляют об известных уязвимостях, чтобы исключить возможность появления опасных компонентов в составе клиентских приложений.
Отвечая на вопрос CNews о количестве специалистов, задействованных в поддержке доверенного репозитория Java-компонентов, в Axiom JDK назвали его «достаточным» и подчеркнули готовность направить дополнительные ресурсы в случае возникновения такой потребности.
«Команда Axiom JDK на 80% состоит из инженеров. Доверенный репозиторий – один из наиболее приоритетных продуктов, с учетом важности контроля цепочек поставок ПО. Команда задействует необходимое количество инженеров для ежемесячного пополнения репозитория. На текущий момент в среднем в месяц мы обрабатываем и анализируем в соответствии со стандартами ГОСТ Р 56939-2016 на РБПО (разработка безопасносного программного обеспечения; – прим. CNews) 1 тыс. и более библиотек. При необходимости есть потенциал привлечения большего количества ресурсов к развитию Axiom Repo, если будут запросы от клиентов», – отметил представитель компании-разработчика.
В России и в реестре российского ПО Axiom Repo – первый и единственный на сегодняшний день репозиторий Java-библиотек, утверждают в Axiom JDK.
Среди зарубежных участников рынка похожий сервис под названием Chainguard Libraries предлагает американская компания Chainguard. Включаемые в него артефакты Maven поступают из общедоступного репозитория Maven Central Repository. Запуск сервиса Libraries для Java Chainguard анонсировала в мае 2025 г.
Поделиться
