Блицинтервью с Кириллом Меньшовым, старшим вице-президентом по информационным технологиям ПАО «Ростелеком»
Проект: «Феникс» – безопасный репозиторий артефактов
Безопасный репозиторий всех Open Source артефактов от «Ростелекома» позволяет снизить риск критичных ситуаций, возникающих из-за специально заложенных уязвимостей или недокументированных возможностей. Ключевые результаты проекта: оптимизированы процессы безопасной разработки, сокращены задействованные ресурсы экспертов по безопасности на 20% и команды разработки на 15%, повышена безопасность использования более 700 Open Source артефактов.
1. Какие ключевые задачи решает ваш проект?
Ключевой задачей проекта является снижение рисков ситуаций, когда в open-source библиотеках и компонентах, используемых при создании программных решений, могут быть специально заложенные уязвимости или недокументированные возможности, которые критически повлияют на качество конечных продуктов и процессов предоставления услуг гражданам РФ.
Также данное решение позволяет разработке сохранить требуемый бизнесу time to market в существующих условиях.
2. Что было самым сложным в реализации проекта?
Основной сложностью в реализации проекта было проанализировать уже существующие и проработать возможные варианты реализации в коде уязвимостей и зловредного функционала, а позднее на их основе разработать паттерны проверки.
В целом реализация такого инновационного продукта потребовала решения многих вопросов как технического, так и методологического характера. Хорошо, что у нас в группе компаний «Ростелеком» есть специалисты с требуемым опытом работы и знаниями.
Также сложности разработки решения добавили объем и разнообразие используемых при разработке некоммерческих библиотек и компонент. На момент запуска в нем было более 20 000 библиотек и компонент в форматах apt, pypi, deb, rpm, npm, gem, jar, js, которые регулярно обновляются и их нельзя проверить один раз.
3. Каких результатов удалось достичь?
Создан безопасный репозиторий, для реализации которого привлечены опыт и экспертиза трех компаний ПАО «Ростелеком», «РТК ИТ» и РТК «Солар».
Для реализации функционала были разработаны уникальные собственные решения:
- «РТК ИТ» разработала программный код решения, включая модули хранения ПО, карантинной зоны и API взаимодействия с системами «ЦКИЗ РТК» и РТК «Солар»;
- «ЦКИЗ РТК» – методики проверки кода и их реализацию в подсистеме «Мониторинга безопасности кода»;
- РТК «Солар» доработала свой продукт Solar appScreener на предмет добавления возможности проверки open-source артефактов как с открытым кодом, так и в бинарном виде.
На настоящий момент в безопасном репозитории более 50 тысяч компонент в форматах apt, pypi, deb, rpm, npm, gem, jar, js, которые проверены на следующие уязвимости:
- блокировка работы приложения по IP-адресу / по временной зоне;
- увеличение утилизации ресурсов по IP-адресу / по временной зоне;
- замена содержимого переменных окружения;
- замена изображений и текстов на сайтах (подделка контента);
- внедрение баннеров с политическими лозунгами;
- внедрение вредоносного кода для удалённого управления, доступа к конфиденциальным данным, осуществления DDoS-атак, шифрования систем, уничтожения данных на компьютере пользователя;
- кража конфиденциальной информации о пользователях;
- содержание вирусов, червей, троянов и других видов вредоносных программ.
В целом реализация проекта привела к:
- оптимизации процессов безопасной разработки;
- сокращению задействованных в разработке ресурсов экспертов по безопасности на 20% и непосредственно команды разработки на 15%;
- исключению из разработки либо повышению безопасности использования более 700 open-source артефактов.
4. Как изменился процесс реализации проекта в связи с изменившейся обстановкой в стране? Пришлось ли вносить изменения в планы, инструменты и сроки?
Большинство компаний, беспокоящихся о безопасности разрабатываемых ими решений на основе open-source артефактов, весной 2022 года создали внутренние выделенные команды для проверки используемых ими артефактов на уязвимости. Но данные инициативы были недоступны подавляющему числу компаний на рынке разработки российского программного обеспечения ввиду высокой стоимости содержания такой команды и отсутствия необходимых компетенций.
С марта 2022 года приоритет и важность проекта разработки безопасного репозитория «Феникс» неоднократно возросли. Из локального решения для внутренних команд разработки компании проект трансформировался в создание коммерческого продукта для широкого круга компаний-разработчиков.
5. Планируете ли развивать проект дальше?
Безусловно.
Безопасный репозиторий будет развиваться как в сторону поддержки новых форматов компонент, так и в направлении модификации существующих и создании новых паттернов их проверок. Ведь глобальная цель проекта – предоставить разработчикам российского ПО инструменты, позволяющие снизить риск возникновения ситуаций когда в open-source артефактах, используемых при создании программных решений, могут быть специально заложенные уязвимости или недокументированные возможности, которые критически влияют на качество конечных продуктов и процессов предоставления услуг гражданам РФ.
Реклама ООО «РТК ИТ»