«Феникс» - безопасный репозиторий артефактов
- Заказчик:
- ПАО «Ростелеком»
- Руководитель проекта со стороны заказчика
- Поставщик
- ПАО «Ростелеком»
- Год завершения проекта
- 2022
- Сроки выполнения проекта
- Март, 2022 - Октябрь, 2022
- Масштаб проекта
- 4000 человеко-часов
- Цели
Основная цель проекта – предоставить разработчикам российского ПО инструменты, позволяющие снизить риск возникновения ситуаций, когда в open-source артефактах, используемых при создании программных решений, могут быть специально заложенные уязвимости или недокументированные возможности, которые критически повлияют на качество конечных продуктов и процессов предоставления услуг гражданам РФ.
Уникальность проекта
На рынке РФ отсутствуют аналоги автоматической проверки open-source артефактов.Многие компании выбрали путь создания внутренних команд для проверки используемых ими артефактов на уязвимости. Эти инициативы были недоступны подавляющему числу компаний на рынке разработки российского ПО ввиду высокой стоимости содержания команды и отсутствия компетенций.
В ПАО «Ростелеком» пошли другим путем.
Этот проект является совместной разработкой трех компаний ПАО «Ростелеком», «РТК ИТ» и РТК «Солар».
Для реализации функционала были разработаны уникальные собственные решения:
- «РТК ИТ» разработала программный код решения, включая модули хранения ПО, карантинной зоны и API взаимодействия с системами «ЦКИЗ РТК» и РТК «Солар»;
- «ЦКИЗ РТК» – методики проверки кода и их реализацию в подсистеме «Мониторинга безопасности кода»;
- РТК «Солар» доработала свой продукт Solar appScreener на предмет добавления возможности проверки open-source артефактов как с открытым кодом, так и в бинарном виде.
- Проект решает задачи импортозамещения
- Да
- Использованное ПО
- В качестве вспомогательных систем использовано open-source программное обеспечение для хранения артефактов форматов. Для проверки кода используется программное обеспечение Solar appScreener и решения собственной разработки центра киберзащиты ПАО «Ростелеком» и «РТК ИТ».
- Сложность реализации
Сложность реализации обусловлена новизной как технического, так и методологического подходов.
С технической точки зрения основной сложностью было реализовать каркас платформы, позволяющий перемещать артефакты между внешней, смотрящей в интернет зоной, используемой для закачки артефакта, и доверенной, смотрящей в ЦОД, используемой для конечной сборки продуктов на доверенных средах, через карантинную зону, видимую только подсистеме «Мониторинга безопасности кода».
С методологической стороны основную сложность составили разработка практических подходов реализации проверок и классификация уязвимостей по степени их влияния и возможностям использования при разработке программного обеспечения.
- Описание проекта
Open-source программное обеспечение активно используется в «Ростелекоме» как при создании собственных продуктов, так и при эксплуатации сторонних решений. Поэтому вопрос безопасности open-source для ПАО очень критичен. В «Ростелекоме» еще в марте 2022 года стартовал проект создания собственного безопасного репозитория всех open-source артефактов, используемых во внутренней разработке.
В нем, помимо стандартного функционала хранения артефактов, также разработан функционал проверки решения с открытым кодом на наличие уязвимостей.
Все open-source артефакты репозитория проходят следующие проверки на наличие уязвимостей:
- блокировка работы приложения по IP-адресу / по временной зоне;
- увеличение утилизации ресурсов по IP-адресу / по временной зоне;
- замена содержимого переменных окружения;
- замена изображений и текстов на сайтах (подделка контента);
- внедрение баннеров с политическими лозунгами;
- внедрение вредоносного кода для удалённого управления, доступа к конфиденциальным данным, осуществления DDoS-атак, шифрования систем, уничтожения данных на компьютере пользователя;
- кража конфиденциальной информации о пользователях;
- содержание вирусов, червей, троянов и других видов вредоносных программ.
Репозиторий «Феникс» создавался в рамках концепции повышения безопасности разрабатываемых решений без необходимости внесения изменений в текущие процессы разработки команд. Поэтому для его использования командам надо только перенастроить источник загрузки open-source средств разработки (пакетов/библиотек/компиляторов/интерпретаторов/фреймворков) с интернет-ресурсов на репозиторий «Феникс».
Реализация проекта привела к:
- оптимизации процессов безопасной разработки;
- сокращению задействованных в разработке ресурсов экспертов по безопасности на 20% и непосредственно команды разработки на 15%;
- исключению из разработки либо повышению безопасности использования более 700 OpenSource артефактов.
- География проекта
- 78 регионов РФ, где присутствуют разработчики ПАО «Ростелеком»