«Феникс» - безопасный репозиторий артефактов

Заказчик
ПАО «Ростелеком»
Руководитель проекта со стороны заказчика
ИТ-поставщик
ПАО «Ростелеком»
Год завершения проекта
2022
Сроки выполнения проекта
Март, 2022 - Октябрь, 2022
Масштаб проекта
4000 человеко-часов
Цели

Основная цель проекта – предоставить разработчикам российского ПО инструменты, позволяющие снизить риск возникновения ситуаций, когда в open-source артефактах, используемых при создании программных решений, могут быть специально заложенные уязвимости или недокументированные возможности, которые критически повлияют на качество конечных продуктов и процессов предоставления услуг гражданам РФ.

Уникальность проекта

На рынке РФ отсутствуют аналоги автоматической проверки open-source артефактов.

Многие компании выбрали путь создания внутренних команд для проверки используемых ими артефактов на уязвимости. Эти инициативы были недоступны подавляющему числу компаний на рынке разработки российского ПО ввиду высокой стоимости содержания команды и отсутствия компетенций.
В ПАО «Ростелеком» пошли другим путем.

 Этот проект является совместной разработкой трех компаний ПАО «Ростелеком», «РТК ИТ» и РТК «Солар».
Для реализации функционала были разработаны уникальные собственные решения:
  • «РТК ИТ» разработала программный код решения, включая модули хранения ПО, карантинной зоны и API взаимодействия с системами «ЦКИЗ РТК» и РТК «Солар»;
  • «ЦКИЗ РТК» – методики проверки кода и их реализацию в подсистеме «Мониторинга безопасности кода»;
  • РТК «Солар» доработала свой продукт Solar appScreener на предмет добавления возможности проверки open-source артефактов как с открытым кодом, так и в бинарном виде.
Проект решает задачи импортозамещения
Да
Использованное ПО
В качестве вспомогательных систем использовано open-source программное обеспечение для хранения артефактов форматов. Для проверки кода используется программное обеспечение Solar appScreener и решения собственной разработки центра киберзащиты ПАО «Ростелеком» и «РТК ИТ».
Сложность реализации

Сложность реализации обусловлена новизной как технического, так и методологического подходов. 

С технической точки зрения основной сложностью было реализовать каркас платформы, позволяющий перемещать артефакты между внешней, смотрящей в интернет зоной, используемой для закачки артефакта, и доверенной, смотрящей в ЦОД, используемой для конечной сборки продуктов на доверенных средах, через карантинную зону, видимую только подсистеме «Мониторинга безопасности кода». 

С методологической стороны основную сложность составили разработка практических подходов реализации проверок и классификация уязвимостей по степени их влияния и возможностям использования при разработке программного обеспечения.

Описание проекта

Open-source программное обеспечение активно используется в «Ростелекоме» как при создании собственных продуктов, так и при эксплуатации сторонних решений. Поэтому вопрос безопасности open-source для ПАО очень критичен. В «Ростелекоме» еще в марте 2022 года стартовал проект создания собственного безопасного репозитория всех open-source артефактов, используемых во внутренней разработке. 

В нем, помимо стандартного функционала хранения артефактов, также разработан функционал проверки решения с открытым кодом на наличие уязвимостей.

Все open-source артефакты репозитория проходят следующие проверки на наличие уязвимостей:
  • блокировка работы приложения по IP-адресу / по временной зоне;
  • увеличение утилизации ресурсов по IP-адресу / по временной зоне;
  • замена содержимого переменных окружения;
  • замена изображений и текстов на сайтах (подделка контента);
  • внедрение баннеров с политическими лозунгами;
  • внедрение вредоносного кода для удалённого управления, доступа к конфиденциальным данным, осуществления DDoS-атак, шифрования систем, уничтожения данных на компьютере пользователя;
  • кража конфиденциальной информации о пользователях;
  • содержание вирусов, червей, троянов и других видов вредоносных программ.

Репозиторий «Феникс» создавался в рамках концепции повышения безопасности разрабатываемых решений без необходимости внесения изменений в текущие процессы разработки команд. Поэтому для его использования командам надо только перенастроить источник загрузки open-source средств разработки (пакетов/библиотек/компиляторов/интерпретаторов/фреймворков) с интернет-ресурсов на репозиторий «Феникс».

Реализация проекта привела к:

  • оптимизации процессов безопасной разработки;
  • сокращению задействованных в разработке ресурсов экспертов по безопасности на 20% и непосредственно команды разработки на 15%;
  • исключению из разработки либо повышению безопасности использования более 700 OpenSource артефактов.

География проекта
78 регионов РФ, где присутствуют разработчики ПАО «Ростелеком»
Коментарии: 5

Комментировать могут только авторизованные пользователи.
Предлагаем Вам в систему или зарегистрироваться.

  • Дмитрий Чумиков
    Рейтинг: 20
    АО КОНСИСТ-ОС
    Руководитель по инновационному развитию
    24.11.2022 17:17

    Интересный проект. Можете прислать документы для более подробного изучения?

  • Дарий Халитов
    Рейтинг: 198
    ПАО Ростелеком
    Вице-президент по развитию информационных систем
    25.11.2022 14:53

    Дмитрий, направьте пож-та свои контакты dariy.khalitov@rt.ru, обязательно поделимся и расскажем.

  • Карапет Манасян
    Рейтинг: 15
    ПАО Московская Биржа
    Руководитель платформы производства
    23.12.2022 10:13

    Есть ли возможность другим компаниям выкладывать свои решения в ваш репозиторий? Или это только внутренний проект? Спасибо!

  • Кирилл Меньшов
    Рейтинг: 1369
    ПАО "Ростелеком"
    Старший вице-президент по информационным технологиям
    28.12.2022 11:57

    Карапет, добрый день.
    Все зависит от типа ПО:
    - если вопрос от производителя ПО и он готов юридически закрепить свою ответственность за безопасность разработанного им продукта, то – да;
    - если вопрос от компании разработчика, которая просто хочет разместить у нас исходный код, то в настоящий момент – нет. Данный функционал появится у нас в «Фениксе» в 1-ом квартале в тесте и во 2-ом квартале в промышленной реализации.

  • Евгений Осьминин
    Рейтинг: 33
    АО РДТЕХ
    директор по развитию и цифровой трансформации
    05.04.2023 14:22

    Можно ссылку на классификацию уязвимостей?

Год
Предметная область
Отрасль
Управление
Мы используем файлы cookie в аналитических целях и для того, чтобы обеспечить вам наилучшие впечатления от работы с нашим сайтом. Заходя на сайт, вы соглашаетесь с Политикой использования файлов cookie.