РТК-Феникс: безопасный репозиторий

Главное о кейсе

Основная цель проекта – предоставить разработчикам российского ПО инструменты, позволяющие снизить риск возникновения ситуаций, когда в open-source артефактах, используемых при создании программных решений, могут быть специально заложенные уязвимости или недокументированные возможности, которые критически повлияют на качество конечных продуктов и процессов предоставления услуг гражданам РФ.

Как проект изменил жизнь пользователей

Разработчики получили доступ к безопасному репозиторию, осуществляющему проверку артефактов на угрозы и уязвимость.
На рынке РФ отсутствуют аналоги автоматической проверки open-source артефактов.

Многие компании выбрали путь создания внутренних команд для проверки используемых ими артефактов на уязвимости. Эти инициативы были недоступны подавляющему числу компаний на рынке разработки российского ПО ввиду высокой стоимости содержания команды и отсутствия компетенций.

Бизнес-задача и ее решение

Open-source программное обеспечение активно используется в «Ростелекоме» как при создании собственных продуктов, так и при эксплуатации сторонних решений. Поэтому вопрос безопасности open-source для ПАО очень критичен. В «Ростелекоме» еще в марте 2022 года стартовал проект создания собственного безопасного репозитория всех open-source артефактов, используемых во внутренней разработке.
Репозиторий «Феникс» создавался в рамках концепции повышения безопасности разрабатываемых решений без необходимости внесения изменений в текущие процессы разработки команд. Поэтому для его использования командам надо только перенастроить источник загрузки open-source средств разработки (пакетов/библиотек/компиляторов/интерпретаторов/фреймворков) с интернет-ресурсов на репозиторий «Феникс».

Реализация проекта привела к:

оптимизации процессов безопасной разработки;
сокращению задействованных в разработке ресурсов экспертов по безопасности на 20% и непосредственно команды разработки на 15%;
исключению из разработки либо повышению безопасности использования более 700 OpenSource артефактов.

Крафт (мастерство), реализация, технические детали

Для реализации функционала были разработаны уникальные собственные решения:
«РТК ИТ» разработала программный код решения, включая модули хранения ПО, карантинной зоны и API взаимодействия с системами «ЦКИЗ РТК» и РТК «Солар»;
«ЦКИЗ РТК» – методики проверки кода и их реализацию в подсистеме «Мониторинга безопасности кода»;
РТК «Солар» доработала свой продукт Solar appScreener на предмет добавления возможности проверки open-source артефактов как с открытым кодом, так и в бинарном виде.

Инсайты, гипотезы, процесс создания и взаимодействия с заказчиком

Сложность реализации обусловлена новизной как технического, так и методологического подходов.

С технической точки зрения основной сложностью было реализовать каркас платформы, позволяющий перемещать артефакты между внешней, смотрящей в интернет зоной, используемой для закачки артефакта, и доверенной, смотрящей в ЦОД, используемой для конечной сборки продуктов на доверенных средах, через карантинную зону, видимую только подсистеме «Мониторинга безопасности кода».

С методологической стороны основную сложность составили разработка практических подходов реализации проверок и классификация уязвимостей по степени их влияния и возможностям использования при разработке программного обеспечения.