К запуску проекта по созданию безопасного репозитория РТК-Феникс специалистов Ростелекома привела необходимость снижения рисков использования open source библиотек и продуктов при разработке ИТ-решений. Исторически на рынке доминировали продукты Sonatype и Jfrog. К 2022 году существенно выросли риски применения существующих глобальных репозиториев и платформ из-за большого количества содержащихся в них уязвимостей, в том числе тех, что были заложены специально для компрометации российских программных разработок. Любая подобная уязвимость могла начать эксплуатироваться практически с самого момента ее выявления.
Кирилл Пихтовников, технический директор «Ростелеком ИТ».
Скриншот из трансляции финала премии «КулибИТ 2023»
в группе ВК «я-ИТ-ы». Сообщество цифровых управленцев»
«Ростелеком – не только один из крупнейших телеком-операторов страны, но также и ИТ-компания. Мы разрабатываем ИТ-продукты и предоставляем услуги клиентам на их основе. Когда в 2022 году начались ограничения с точки зрения использования open source, мы не нашли на рынке решение, которое бы нас устраивало, и начали создавать собственное. Так как в нашей компании большое количество внутренних наработок, мы их стали собирать, сформировали «дорожную карту» того, как должен выглядеть конечный образ продукта», – рассказывает заместитель генерального директора по производству – технический директор «Ростелеком ИТ» Кирилл Пихтовников.
Работа над созданием продукта началась в марте 2022 года. К августу у разработчиков уже был готов MVP, и в октябре началась его опытная эксплуатация в ИТ-кластере Ростелекома. К марту 2023 года количество форматов репозиториев выросло до десяти, были сформированы и выпущены на внешний рынок SaaS и on premise версии.
Цели и задачи продукта. Слайд из презентации Кирилла Пихтовникова, «Ростелеком ИТ»
На сегодняшний день репозиторий РТК-Феникс используется ИТ-командами Ростелекома во всех регионах присутствия компании. Также он востребован и среди сторонних разработчиков.
«В реализации проекта участвовала команда примерно из 30 человек – экспертов Ростелекома со стороны ИТ и со стороны кибербеза. Мы понимали, к чему мы идем, как и что хотим сделать. По нашим прогнозам, срок окупаемости проекта составит до трех лет», – добавляет Кирилл Пихтовников.
Согласно функциональному описанию продукта, информационная система РТК-Феникс – это менеджер репозиториев с предварительной проверкой целостности и безопасности артефактов, нацеленный на предоставление безопасных артефактов разработчикам ПО. Его назначением являются агрегация, фильтрация, валидация и хранение артефактов.
Другими словами, решение обеспечивает разработчиков российского ПО инструментами, позволяющими снизить риски при использовании в процессе создания кода open source артефактов, которые могут критически повлиять на качество конечных продуктов и процессов предоставления услуг. Благодаря этим инструментам осуществляется безопасное хранение артефактов и их регулярная проверка на уязвимости.
Скрин общедоступной демо-версии продукта.
Скрин с официального сайта rtkit.ru/products/rtk-feniks, данные на 7.02.2024
Система РТК-Феникс обладает следующими функциональными характеристиками: работа с артефактами различных форматов (maven, pypi, deb, rpm, gem, npm, nuget), интеграция с системой мониторинга безопасности кода, вычисление статуса артефакта по выявленным угрозам, автоматический перенос безопасных артефактов в доверенную зону, обеспечение пользовательского интерфейса для специалистов мониторинга и разработчиков.
Продукт соответствует концепции импортонезависимости, так как полностью реализован на российском программном стеке: это операционная система РЕД ОС, система виртуализации TIONIX, СУБД и сервер приложений Tarantool, среда разработки AxiomJDK.
«В нашем продукте мы полностью транслируем все исходные метаданные, методику хранения, запросы, нагрузку исходных репозиториев. Сейчас особых навыков для работы с ним не требуется. Кроме того мы добавили удобный интерфейс для разработчиков, теперь им не нужны знания в области кибербезопасности, чтобы разобраться в том, что такое CVSS, CVE и т. д. Графический интерфейс продукта предоставляет им информацию в формате «светофора»: зеленый цвет – спокойно используйте артефакт, желтый – обратите внимание на ограничения, красный – использовать нельзя», – рассказывает Кирилл Пихтовников.
Результаты создания репозитория РТК-Феникс.
Слайд из презентации Кирилла Пихтовникова, «Ростелеком ИТ»
Таким образом, безопасный репозиторий свободного программного обеспечения РТК-Феникс в перспективе готов заменить ушедшие с российского рынка Sonatype и JFrog. Сегодня в нем содержится уже более 1,5 млн проверенных артефактов, а 30 тыс опасных артефактов исключены из разработки.
Напомним, продукт был впервые представлен в декабре 2023 года на Rostelecom Tech Day. А первое признание в профессиональном сообществе он получил уже через пару месяцев, став лауреатом премии «КулибИТ 2023» в номинации «IT for IT».
Публичная демо-версия продукта доступна для тестирования по адресу demo.saferepo.rt.ru.