"Ростелеком" создал репозиторий "РТК-Феникс". Провайдер сообщил, что это первый российский репозиторий, который проверен на безопасность open-source-пакетов, используемых при разработке программного обеспечения. Однако Департамент информационных технологий (ДИТ) Москвы уже запустил подобный сервис, а репозиторий Минцифры - в процессе разработки.
© ComNews
26.06.2023
Представители ПАО "Ростелеком" отмечают, что использование программного обеспечения (ПО) с открытым исходным кодом становится все менее безопасным, поскольку в open source нередко включают вредоносные возможности, которые могут не только ухудшать работу ПО, но и провоцировать утечки персональных данных, нарушать работу сайтов. "Ростелеком" разработал "РТК-Феникс" для того, чтобы снизить эти киберриски.
Репозиторий работает в онлайн- и офлайн-режимах, поддерживает функционал проверки на безопасность, хранение и предоставление командам разработки безопасных кодов.
Однако ранее репозитории уже разрабатывали Минцифры и ДИТ Москвы. Представитель пресс-службы "Ростелекома" объяснил, в чем разница этих разработок: "Репозитории Минцифры и ДИТ - это скорее российская замена Github, платформы для совместной разработки и хранения исходного кода программного обеспечения. Их создают для снижения рисков потери исходных кодов, инструментов разработки и сохранения работающего над ПО комьюнити. Наш репозиторий решает другую проблему - снизить риски безопасности ПО за счет проверки используемых при разработке библиотек. Он может быть подключен как к репозиторию Минцифры, так и к репозиторию ДИТ, чтобы разработчики на этих платформах не включали в свой код и не использовали готовые библиотеки и SDK (комплекты для разработки ПО), имеющие известные и эксплуатируемые уязвимости. Важно отметить, что мы проверяем не только сами библиотеки, но и все их зависимости. В настоящий момент к репозиторию "РТК-Феникс" мы подключили все ИТ-"дочки" группы компаний "Ростелеком". Обсуждаем несколько пилотов интеграции решения в инфраструктуру крупных корпораций".
Также ответ на вопрос о разнице функционала репозиториев предоставил и представитель пресс-службы Минцифры России: "Ростелеком" создал репозиторий для решения специфической задачи - проверки используемых при разработке библиотек для обеспечения безопасности ПО. Задача Минцифры намного шире - создать национальный репозиторий. Его функционал предполагает не только хранение исходного кода, но и функции для разработчиков - элементы социальной сети, инструменты проверки кода на безопасность и уязвимости, инструменты для интеграции с внешними репозиториями".
Корреспондент ComNews обратился с таким же вопросом в пресс-службу ДИТ Москвы, но ответ так и не поступил.