«Ростелеком» открыл общий доступ к репозиторию безопасного свободного ПО

«Ростелеком» создал доверенный репозиторий открытого кода. Компания выпустила решение на рынок из-за участившихся кибератак и потому, что использование Open Source стало небезопасно из-за возможных закладок в нем.

Репозиторий «Ростелекома»

«Ростелеком» создал первый в России доверенный репозиторий «РТК-феникс». Содержащиеся в нем пакеты и открытые библиотеки были проверены на безопасность. О создании репозитория CNews сообщили представители компании «Ростелеком».

«В последнее время растет число кибератак на веб-ресурсы госорганов России и отечественных компаний», — отметили представители «Ростелекома». Самая распространенная причина уязвимостей корпоративных приложений и сервисов заключается в использовании Open Source при их разработке. В него могут включать вредоносные возможности, которые не только способны ухудшить работу ПО, но и спровоцировать утечки персональных данных, а также нарушить работу сайтов.

По мнению «Ростелекома», использование ПО с открытым исходным кодом становится «все менее безопасным». Для снижения киберрисков и был создан доверенный репозиторий.

«Ростелеком» создал репозиторий проверенных пакетов и библиотек Open Source

Репозиторий предназначен для российского рынка. В его основе лежит решение способное самостоятельно обнаружить все сторонние компоненты, как с открытым кодом, так и в бинарном виде, отметил гендиректор «Ростелеком-Солар» Игорь Ляпунов.

Из чего состоит репозиторий

«РТК-феникс» — это репозиторий, который представляет собой комплексное решение по проверке Open Source пакетов, библиотек и их хранения. Продукт базируется на подсистеме мониторинга безопасности кода по собственным методикам SOC (Security Operation Center, центр управления безопасностью) «Ростелекома», включая анализатор кода приложений на наличие уязвимостей Solar AppScreener и другие ИБ-инструменты.

Подсистема делает вывод о возможности либо запрете использования пакетов и библиотек на основе результатов их проверки. ПО дополнительно проверяет все дочерние, то есть транзитивные зависимости открытого кода.

Репозиторий работает в онлайн- и офлайн-режимах и поддерживает функционал проверки на безопасность, хранение и предоставление командам разработки безопасных артефактов в форматах maven, pypi, deb, rpm, gem, npm, nuget, к которым в ближайшее время добавятся php, go, dart и docker.

Проблемы с Open Source в России

Закладки это не единственная проблема, которая может грозить российским пользователям. В марте 2023 г. сообщество разработчиков Linux отказалось принимать правки в код ядра системы от российской компании «Байкал Электроникс», сославшись на то, что это «некомфортно».

Также в марте 2023 г. произошел и второй инцидент. Репозиторий сотрудника российского производителя Yadro Александра Амелькина принудительно перевели в режим публичного архива (Public Archive). Фактически, это аналог знакомого всем пользователям Windows режима «только для чтения». По информации издания, профиль Амелькина также подвергся блокировке, но на момент выхода материала он был доступен, хотя плашка Public Archive на нем по-прежнему была.

Напомним, что весной 2022 г. GitHub массово блокировал профили россиян направо и налево, не особо интересуясь подробностями об их владельцах. Пострадали как обычные пользователи, так и крупные компании, включая Сбербанк (он тоже находится под санкциями).