Open source из «РТК-феникс» можно использовать без опасений «подхватить» вредонос или закладку — все пакеты и библиотеки проверены.
Там все будет безопасно
«Ростелеком» представил первый в РФ доверенный репозиторий «РТК-феникс». Все содержащееся в нем ПО уже проверено на безопасность.
Еще в прошлом году мы рассказывали, почему открытое ПО вдруг перестало быть таким безопасным. Если кратко, то некоторые разработчики, приложившие руку к софту с открытым исходным кодом, из-за обострения политической ситуации в мире стали добавлять в пакеты и библиотеки закладки разной степени опасности. И в лучшем случае это будет баннер с призывом или «музыкальная пауза». Некоторые не стеснялись добавлять в ПО и более неприятные сюрпризы — например, разнообразные вирусы и шифровальщики.
Теперь этих опасностей можно избежать.
«РТК-феникс» от «Ростелекома» — это репозиторий для хранения и проверки open source пакетов и библиотек. Решение работает на базе подсистемы мониторинга безопасности кода по собственным методикам SOC «Ростелекома».
Благодаря анализатору кода приложений на наличие уязвимостей и другим ИБ-решениями «под капотом» система самостоятельно проверяет программные компоненты и находит в них нежелательные компоненты. Инструмент проверяет не только ПО, но и дочерние зависимости.
В качестве основных инструмента заявлены следующие функции:
- загрузка данных из открытых интернет-источников по запросу пользователей;
- агрегация, фильтрация и хранение артефактов;
- автоматизированное движение артефактов по стадиям жизненного цикла;
- мониторинг безопасности кода артефактов;
- автоматический перенос безопасных артефактов в доверенную зону;
- предоставление пользовательского интерфейса (UI) для мониторинга и просмотра информации об артефактах;
- предоставление API для получения артефактов.
«РТК-феникс» работает как в онлайн-режиме, так и в офлайн. Репозиторий поддерживает функционал проверки на безопасность, хранение и предоставление командам разработки безопасных артефактов в форматах maven, pypi, deb, rpm, gem, npm, nuget. В скором времени разработчики решения добавят php, go, dart и docker.
Было бы интересно протестировать возможности «РТК-феникс»? Стали бы использовать инструмент в повседневных рабочих задачах? Расскажите в комментариях!
Что еще почитать по теме
- Российскую альтернативу GitHub запустят уже в сентябре 2023-го. В проекте участвуют госструктуры, банки и даже физлица
- Притеснение российских программистов может стать тенденцией: GitHub заархивировал репозиторий сотрудника Yadro
- В отечественный аналог GitHub вложат 1.3 миллиарда рублей
