В России запущен первый отечественный репозиторий открытого ПО
Продукт поддерживает функционал проверки на безопасность, хранение и предоставление безопасных артефактов.
Российские разработчики представили первый в России репозиторий «РТК-Феникс» , содержащий пакеты и открытые библиотеки, которые прошли проверку на безопасность.
Авторы репозитория утверждают, что веб-ресурсы государственных органов РФ и российских компаний все чаще подвергаются кибератакам. Одной из причин этого являются уязвимости в корпоративных приложениях и сервисах собственной разработки, а также использование ПО с открытым исходным кодом, которое становится все менее безопасным. В Open Source зачастую встраивают вредоносные возможности, которые могут не только снижать качество работы ПО, но и способствовать утечкам личных данных, нарушать функционирование сайтов и так далее. Для уменьшения этих киберрисков и был разработан репозиторий.
«РТК-Феникс» ориентирован на российский рынок. В его основе лежит решение, способное само обнаружить все сторонние компоненты, как с открытым кодом, так и в бинарном виде. «РТК-Феникс» — это репозиторий, который является комплексным решением по проверке Open Source пакетов, библиотек и их хранения. Продукт содержит инструменты мониторинга безопасности кода, включая анализатор кода приложений на наличие уязвимостей и другие ИБ-инструменты.
Подсистема делает заключение о возможности либо запрете использования пакетов и библиотек на основе результатов их проверки. ПО дополнительно проверяет все дочерние, то есть транзитивные зависимости открытого кода.
Репозиторий работает в онлайн- и офлайн-режимах и поддерживает функционал проверки на безопасность, хранение и предоставление командам разработки безопасных артефактов в форматах maven, pypi, deb, rpm, gem, npm, nuget, к которым в ближайшее время добавятся php, go, dart и docker.
Идея создания российского репозитория ПО с открытым кодом впервые прозвучала в сентябре 2021 года от премьер-министра Михаила Мишустина. В октябре 2022 года Российский фонд развития информационных технологий (РФРИТ) объявил о своем вовлечении в проект (это закреплено постановлением правительства).
Эксперимент по созданию репозитория начался 21 марта 2023 года и завершится во II квартале 2024 года. На эту цель Минцифры предложило выделить 1,3 млрд руб. из фонда «Росинфокоминвест». Получателем этих средств станет РФРИТ, который затем передаст их в АНО «Открытый код» (среди учредителей – VK, «Ростелеком», университет «Иннополис», группа Т1 и другие организации). При этом, АНО будет формировать техническое задание по созданию репозитория.
Не ждите, пока хакеры вас взломают - подпишитесь на наш канал и станьте неприступной крепостью!