«Феникс» – безопасный репозиторий артефактов
Безопасный репозиторий всех Open Source артефактов от «Ростелекома» позволяет снизить риск критичных ситуаций, возникающих из-за специально заложенных уязвимостей или недокументированных возможностей. Ключевые результаты проекта: оптимизированы процессы безопасной разработки, сокращены задействованные ресурсы экспертов по безопасности на 20% и команды разработки на 15%, повышена безопасность использования более 700 Open Source артефактов.
Проект был реализован в период с марта 2022 г. по октябрь 2022 г.
Масштаб проекта – 4 000 человеко-часов, партнер проекта - ПАО «Ростелеком»
Каковы цели проекта?
Основная цель проекта – предоставить разработчикам российского ПО инструменты, позволяющие снизить риск возникновения ситуаций, когда в open-source артефактах, используемых при создании программных решений, могут быть специально заложенные уязвимости или недокументированные возможности, которые критически повлияют на качество конечных продуктов и процессов предоставления услуг гражданам РФ.
В чем уникальность проекта для рынка?
На рынке РФ отсутствуют аналоги автоматической проверки open-source артефактов.
Многие компании выбрали путь создания внутренних команд для проверки используемых ими артефактов на уязвимости. Эти инициативы были недоступны подавляющему числу компаний на рынке разработки российского ПО ввиду высокой стоимости содержания команды и отсутствия компетенций.
В ПАО «Ростелеком» пошли другим путем.
Этот проект является совместной разработкой трех компаний ПАО «Ростелеком», «РТК ИТ» и РТК «Солар».
Для реализации функционала были разработаны уникальные собственные решения:
- «РТК ИТ» разработала программный код решения, включая модули хранения ПО, карантинной зоны и API взаимодействия с системами «ЦКИЗ РТК» и РТК «Солар»;
- «ЦКИЗ РТК» – методики проверки кода и их реализацию в подсистеме «Мониторинга безопасности кода»;
- РТК «Солар» доработала свой продукт Solar appScreener на предмет добавления возможности проверки open-source артефактов как с открытым кодом, так и в бинарном виде.
Как проходило внедрение решения?
Open-source программное обеспечение активно используется в «Ростелекоме» как при создании собственных продуктов, так и при эксплуатации сторонних решений. Поэтому вопрос безопасности open-source для ПАО очень критичен. В «Ростелекоме» еще в марте 2022 года стартовал проект создания собственного безопасного репозитория всех open-source артефактов, используемых во внутренней разработке.
В нем, помимо стандартного функционала хранения артефактов, также разработан функционал проверки решения с открытым кодом на наличие уязвимостей.
Все open-source артефакты репозитория проходят следующие проверки на наличие уязвимостей:
- блокировка работы приложения по IP-адресу / по временной зоне;
- увеличение утилизации ресурсов по IP-адресу / по временной зоне;
- замена содержимого переменных окружения;
- замена изображений и текстов на сайтах (подделка контента);
- внедрение баннеров с политическими лозунгами;
- внедрение вредоносного кода для удалённого управления, доступа к конфиденциальным данным, осуществления DDoS-атак, шифрования систем, уничтожения данных на компьютере пользователя;
- кража конфиденциальной информации о пользователях;
- содержание вирусов, червей, троянов и других видов вредоносных программ.
Репозиторий «Феникс» создавался в рамках концепции повышения безопасности разрабатываемых решений без необходимости внесения изменений в текущие процессы разработки команд. Поэтому для его использования командам надо только перенастроить источник загрузки open-source средств разработки (пакетов/библиотек/компиляторов/интерпретаторов/фреймворков) с интернет-ресурсов на репозиторий «Феникс».
С какими сложностями столкнулись при внедрении проекта?
Сложность реализации обусловлена новизной как технического, так и методологического подходов.
С технической точки зрения основной сложностью было реализовать каркас платформы, позволяющий перемещать артефакты между внешней, смотрящей в интернет зоной, используемой для закачки артефакта, и доверенной, смотрящей в ЦОД, используемой для конечной сборки продуктов на доверенных средах, через карантинную зону, видимую только подсистеме «Мониторинга безопасности кода».
С методологической стороны основную сложность составили разработка практических подходов реализации проверок и классификация уязвимостей по степени их влияния и возможностям использования при разработке программного обеспечения.
Каких результатов удалось достичь?
Реализация проекта привела к:
- оптимизации процессов безопасной разработки;
- сокращению задействованных в разработке ресурсов экспертов по безопасности на 20% и непосредственно команды разработки на 15%;
- исключению из разработки либо повышению безопасности использования более 700 OpenSource артефактов.
Реклама ООО "Ростелеком Информационные Технологии"