Безопасный репозиторий РТК-Феникс

1. Разработка и внедрение доверенного контроллируемого репозитория артефактов разработки в ГК «Ростелеком»;

2. Предоставить разработчикам ПО инструменты, позволяющие снизить риски использования open-source артефактов, без внесения изменений в существующие процессы разработки;

3. Внедрить  OSA/SCA инструменты в регулярные процессы разработки во всех командах внутренней разработки ГК «Ростелеком».

2025

Единая политика на всех проектах. 

SBOM на каждый релиз каждого проекта:

1. 3500 разработчиков в ПАО «Ростелеком», 6 000 разработчиков во всех компаниях использующих продукт;

2. Количество проектов на мониторинге - 217;

3. Количество проверяемых SBOM файлов - 2 743;

4. Среднее количество компонентов проекта - 974;

5. Количество уязвимых компонентов, исправленных с помощью продукта - 3 588;

6. Среднее время устранения уязвимостей при использовании продукта снижено до менее 20 дней;

7. Увеличение скорости устранения уязвимостей при использовании Фениксапри разработке - 50-80%;

8. Количество проверенных Open Source компонентов - 1 772 479;

9. Количество заблокированных компонентов с серьезными проблемами безопасности - 94 634;

10. Количество обнаруженных уязвимостей/угроз - 104 597;

11. Количество поддерживаемых форматов OpenSource компонентов – 12.

RedOS, Tarantool DB, Axiom JDK, ИС «Ларец» (Запись в реестре российского ПО №27339).

В проекте не используются решения из каталога Global CIO

1. Использование в SBOM библиотек собственной разработки;

2. Уязвимости в транзитивных библиотеках;

3. Отсутствие "безопасных" версий библиотек на момент выявления уязвимости;

4. Плагины и транзитивные зависимости, необходимые только для сборки, не попадают в SBOM;

5. Дублирование артефактов из разных репозиториев-зеркал;

6. Баланс между Т2М х стоимость разработки х безопасность ПО.

Доверенный контроллируемый репозиторий артефактов разработки. Внедрен в ГК «Ростелеком» и ряде российских компаний. 

Ключевая функциональность:

1. Автоматическое скачивание, проверка на вирусы и уязвимости, хранение и предоставление разработчикам запрошенных артефактов;

2. Регулярная пере-проверка хранимых артефактов по подключенным базам уязвимостей;

3. Пользовательский интерфейс не требующего наличия у разработчиков специальных навыков и знаний в области информационной безопасности;

4. Предоставление информации об уязвимостях в артефактах разработки и рекомендаций по их устранению;

5. Исключение из использования в разработке библиотек, представляющих угрозу безопасности;

6. Хранение и проверка SBOM для каждого релиза каждого проекта. Vdr-отчеты. Уведомление об угрозах;

7. ИИ-агент – помощник разработчика в виде плагина IDE c информацией о скомпрометированных вызовах используемых open-source библиотек.

Все регионы РФ.