Профессиональное сообщество
лидеров цифровой трансформации

Безопасный репозиторий РТК-Феникс

Заказчик:
Ростелеком
Руководитель проекта со стороны заказчика
Дарий Халитов
Заместитель президента — председателя правления
Поставщик
ООО "Ростелеком Информационные Технологии"
Год завершения проекта
2025
Сроки выполнения проекта
март, 2022 — май, 2025
Масштаб проекта
6000 автоматизированных рабочих мест
Цели

  1. Разработка и внедрение доверенного контроллируемого репозитория артефактов разработки в ГК «Ростелеком»;

  2. Предоставить разработчикам ПО инструменты, позволяющие снизить риски использования open-source артефактов, без внесения изменений в существующие процессы разработки;

  3. Внедрить  OSA/SCA инструменты в регулярные процессы разработки во всех командах внутренней разработки ГК «Ростелеком».

Единая политика на всех проектах. 

SBOM на каждый релиз каждого проекта:

  1. 3500 разработчиков в ПАО «Ростелеком», 6 000 разработчиков во всех компаниях использующих продукт;

  2. Количество проектов на мониторинге - 217;

  3. Количество проверяемых SBOM файлов - 2 743;

  4. Среднее количество компонентов проекта - 974;

  5. Количество уязвимых компонентов, исправленных с помощью продукта - 3 588;

  6. Среднее время устранения уязвимостей при использовании продукта снижено до менее 20 дней;

  7. Увеличение скорости устранения уязвимостей при использовании Фениксапри разработке - 50-80%;

  8. Количество проверенных Open Source компонентов - 1 772 479;

  9. Количество заблокированных компонентов с серьезными проблемами безопасности - 94 634;

  10. Количество обнаруженных уязвимостей/угроз - 104 597;

  11. Количество поддерживаемых форматов OpenSource компонентов – 12.

Уникальность проекта

  1. Запись в реестре российского ПО №18142;

  2. Отсутствие на рынке РФ решений-аналогов с функционала OSA/SCA с хранением и блокировкой уязвимых артефактов разработки в едином решении;

  1. ИИ-агент – помощник разработчика в виде плагина IDE c информацией о скомпрометированных вызовах используемых open-source библиотек.

Использованное ПО

RedOS, Tarantool DB, Axiom JDK, ИС «Ларец» (Запись в реестре российского ПО №27339).

 

Сложность реализации

  1. Использование в SBOM библиотек собственной разработки;

  2. Уязвимости в транзитивных библиотеках;

  3. Отсутствие "безопасных" версий библиотек на момент выявления уязвимости;

  4. Плагины и транзитивные зависимости, необходимые только для сборки, не попадают в SBOM;

  5. Дублирование артефактов из разных репозиториев-зеркал;

  6. Баланс между Т2М х стоимость разработки х безопасность ПО.

Описание проекта

Доверенный контроллируемый репозиторий артефактов разработки. Внедрен в ГК «Ростелеком» и ряде российских компаний. 

Ключевая функциональность:

  1. Автоматическое скачивание, проверка на вирусы и уязвимости, хранение и предоставление разработчикам запрошенных артефактов;

  2. Регулярная пере-проверка хранимых артефактов по подключенным базам уязвимостей;

  3. Пользовательский интерфейс не требующего наличия у разработчиков специальных навыков и знаний в области информационной безопасности;

  4. Предоставление информации об уязвимостях в артефактах разработки и рекомендаций по их устранению;

  5. Исключение из использования в разработке библиотек, представляющих угрозу безопасности;

  6. Хранение и проверка SBOM для каждого релиза каждого проекта. Vdr-отчеты. Уведомление об угрозах;

  7. ИИ-агент – помощник разработчика в виде плагина IDE c информацией о скомпрометированных вызовах используемых open-source библиотек.

География проекта

Все регионы РФ.

Комментировать могут только авторизованные пользователи.
Предлагаем Вам в систему или зарегистрироваться.

фильтр
Год
Предметная область
Отрасль
Управление
Мы используем файлы cookie в аналитических целях и для того, чтобы обеспечить вам наилучшие впечатления от работы с нашим сайтом. Заходя на сайт, вы соглашаетесь с Политикой использования файлов cookie.