«Ростелеком» создал доверенный репозиторий открытого кода. Компания выпустила решение на рынок из-за участившихся кибератак и потому, что использование Open Source стало небезопасно из-за возможных закладок в нем.
«РТК-феникс» — это репозиторий, который представляет собой комплексное решение по проверке Open Source пакетов, библиотек и их хранения. Продукт базируется на подсистеме мониторинга безопасности кода по собственным методикам SOC (Security Operation Center, центр управления безопасностью) «Ростелекома», включая анализатор кода приложений на наличие уязвимостей Solar AppScreener и другие ИБ-инструменты.
Подсистема делает вывод о возможности либо запрете использования пакетов и библиотек на основе результатов их проверки. ПО дополнительно проверяет все дочерние, то есть транзитивные зависимости открытого кода.
Репозиторий работает в онлайн- и офлайн-режимах и поддерживает функционал проверки на безопасность, хранение и предоставление командам разработки безопасных артефактов в форматах maven, pypi, deb, rpm, gem, npm, nuget, к которым в ближайшее время добавятся php, go, dart и docker.
