LINUX.ORG.RU

«Ростелеком» открыл общий доступ к репозиторию безопасного свободного ПО

 , ,


3

3

«Ростелеком» создал доверенный репозиторий открытого кода. Компания выпустила решение на рынок из-за участившихся кибератак и потому, что использование Open Source стало небезопасно из-за возможных закладок в нем.

«РТК-феникс» — это репозиторий, который представляет собой комплексное решение по проверке Open Source пакетов, библиотек и их хранения. Продукт базируется на подсистеме мониторинга безопасности кода по собственным методикам SOC (Security Operation Center, центр управления безопасностью) «Ростелекома», включая анализатор кода приложений на наличие уязвимостей Solar AppScreener и другие ИБ-инструменты.

Подсистема делает вывод о возможности либо запрете использования пакетов и библиотек на основе результатов их проверки. ПО дополнительно проверяет все дочерние, то есть транзитивные зависимости открытого кода.

Репозиторий работает в онлайн- и офлайн-режимах и поддерживает функционал проверки на безопасность, хранение и предоставление командам разработки безопасных артефактов в форматах maven, pypi, deb, rpm, gem, npm, nuget, к которым в ближайшее время добавятся php, go, dart и docker.

РТК-феникс

>>> Подробности (CNews)

★★★★★

Проверено: maxcom ()
Последнее исправление: hobbit (всего исправлений: 2)
Ответ на: комментарий от DrRulez

Mon chere, это был сарказм, я полагаю? Потому как, я не знаю, как где, но в Санкт-Петербурге, на Разъезжей улице, в 100 метрах от офиса ростелекома, данная компания предлагает как раз 100 мегабит по… кабельному модему. И иначе -никак. А вот пчелайн как раз выдает 300 и дешевле :) Я могу еще накидать примерчиков, ежели есть желание

Не сарказм. Наверное у меня недостаточно негативных примеров и походу ростелеком у меня это вообще как будто другая компания. До Ростелекома было говно по ADSL, а потом Ростелеком купил местного провайдера и сделал всем оптику с хуявейными маршрутизаторами, которая до сих пор рулез.

Skullnet ★★★★★
()
Ответ на: комментарий от Aceler

Нельзя сказать, что ничего не сделано, но не сделано ещё очень много

Как много еще не сделали. Но еще больше предстоит не сделать!

BydymTydym
()

Рождённое мёртвым умереть не может:

  1. Переходим по ссылке РТК-феникс из поста
  2. Открываем инструкцию по установке: https://rtkit.ru/uploads/media/06/instrukcia-po-ustanovke.pdf
  3. Доходим до первого шага установки, пытаемся скачать файл из nexus.rt.ru/repository/rit_protectedrepo
  4. Получаем 404
  5. Закрываем инструкцию
  6. PROFIT!

ЗЫ и да, у них в инструкции протокол доступа к nexus.rt.ru не указан совсем. Что использовать? ftp, rsync, git?

mogwai ★★★★★
()
Последнее исправление: mogwai (всего исправлений: 2)
Ответ на: комментарий от mogwai

ЗЫ и да, у них в инструкции протокол доступа к nexus.rt.ru не указан совсем. Что использовать? ftp, rsync, git?

Ну что вы как маленький, это же ростелеком:

gopher://nexus.rt.ru

PPP328 ★★★★★
()

использование Open Source стало небезопасно из-за возможных закладок в нем.

Они просто узнали, что в каждом опенцорцном браузере есть закладки.

PPP328 ★★★★★
()
Ответ на: комментарий от UriZzz

перед оппонированием в адрес Aceler сперва надо разобратся есть в России разработчики или все же нету. Aceler то рассказывает что все таки есть, потому и репозитарии нужны. На гитхабах то у многих учетки есть, но оттуда проекты из Росси стали часто удалять - как комерческие так и опенсорсные. Если ты думаешь что как обчно вот тебя лично это не коснется как других то «ты далеко пойдешь»

feudor
()
Ответ на: комментарий от feudor

Перечитайте мой пост повнимательнее. Я не говорил что у нас нет разработчиков, но давайте зададимся вопросом: сколько из них солидны с @Aceler? А сколько готовы работать где угодно, хоть в аду, и на Сатану, лишь бы платили? А сколько готовы свалить при первой возможности, и работать на кого угодно, лишь бы поскорее откреститься от родины-уродины?

UriZzz
()
Ответ на: комментарий от Mischutka

Солидарны*

Это всё смартфон. Звиняюсь, не усмотрел.

UriZzz
()
Ответ на: комментарий от UriZzz

мне очень жаль что ты работаешь на сатану и твоя родина - уродина. К тому же ты готов работать на кого угодно и у тебя нет ничего святого - так быть не должно. Бери пример с нас - мы свою прекрасную Родину очень любим и работать на черта никогда не согласимся в отличии от некоторых. А может быть такое что неправильно оценил ситуацию и просто ненавидишь сам себя?

feudor
()
Последнее исправление: feudor (всего исправлений: 1)
Ответ на: комментарий от feudor

Что-ж, я буду только рад если окажусь не прав. Повторюсь, возможно я сгустил краски. Возможно я просто не в курсе как сейчас обстоят дела. Я готов извиниться перед вами, если кого то чем то задел. Я патриот своей родины, и надеюсь что всё наладится.

UriZzz
()
Последнее исправление: UriZzz (всего исправлений: 1)
Ответ на: комментарий от hobbit

Конечно же, подобные репозитории — это «эксплуатация», а не «разработка».

Могу сказать, что такие же по смыслу репозитории есть в (некоторых) крупных софтовых компаниях. Разрабатывать ты можешь на чём угодно, в принципе, но для того, чтобы твой код и требуемые тебе библиотеки попали на прод, нужно, чтобы код и библиотеки удовлетворяли некоторому комплайнсу.

Одним из пунктов комплайнса является отсутствие известных CVE-шек в библиотеках, которые требуются коду. Вот буквально «org.sample:library:1.2.3» можно использовать, а «org.sample:library:1.2.2» и «org.sample:library:1.2.4» — нет. 1.2.2 из-за того, что по ней прошло оповещение о CVE, а 1.2.4 — потому что никто из ответственных лиц ещё не проверял и не заливал эту версию в репозиторий.

Управлением подобным репозиторием занимаются специально выделенные люди из отдела эксплуатации. И совершенно очевидно, что мелкие и средние конторы себе подобного позволить чисто финансово не могут, т.к. поток алертов по библиотекам в проекте размера от среднего и выше — довольно плотный.

То, что РТК выкатил подобное в паблик — большое ему спасибо. Насколько оно хорошо будет управляться — ну, это может только время показать: многое зависит от оперативности реагирования.

AlexM ★★★★★
()
Последнее исправление: AlexM (всего исправлений: 1)
Ответ на: комментарий от router

Если это действительно так, то непонятно, что означают ссылки на конкретные адреса в документации (пусть сейчас и неработающие), а также фраза

Эксплуатация осуществляется силами ООО «РТК ИТ» в соответствии с внутренними регламентами и документацией.

hobbit ★★★★★
() автор топика
Последнее исправление: hobbit (всего исправлений: 1)
Ответ на: комментарий от DrRulez

Тоже с этим столкнулся. Вообще сидел на провайдере foo, переехал на новое место и решил подключить РТК, но в доме только модемный интернет с низкой скоростью. Провайдера foo так же по новому адресу не оказалось. Вангую что это из-за странных законов, улучшить которые таки пытаются: https://digital.gov.ru/ru/events/42581/

perl5_guy ★★★★★
()
Ответ на: комментарий от zx_gamer

вам дают ЭЦП, а не вы даете им свой публичный ключ

Ты имеешь ввиду, что клиенту выдается и приватный ключ и личный сертификат с открытом ключом, т.е. вроде как то, что должно храниться только у тебя?

rumgot ★★★★★
()
Ответ на: комментарий от feudor

В каком-то виде разработчики есть, но многие уходят (или уже ушли) на хранение своего труда on premis (публичный доступ к частным репам опционален). Коллективного труда нет от слова «почти». Пример — частные хранилица «Астры» и Альта. И дело тут еще и в требованиях регуляторов. Типа сертификация производства, сертификация продукта и прочее вот это все. Необходимости обобществлять свой труд внутри России для доступа из мира нет от слова «совсем». Нахрен мы никому не нужны. И пример Саши Амелькина из «Ядра» и коллег из «Байкала» тут показателен. Без нас как-нибудь обойдутся.

gns ★★★★★
()
Ответ на: комментарий от Skullnet

Ко мне в частный сектор в ближайшее замкадье Ростелеком оптику тянуть отказался. Была попытка. Ну другие подсуетились, за что им спасибо.

gns ★★★★★
()
Ответ на: комментарий от hobbit

То и значит, что настроили какой-нибудь Дженкинс или Бамбу и отдали ее на эксплуатацию в сторонюю организацию, явно аффилиролванную с Соларом.

gns ★★★★★
()
Ответ на: комментарий от Aceler

Если только от этого, то жаль. Очередное ИБД. Могли бы и действительно публичный security audit наладить.

gns ★★★★★
()
Ответ на: комментарий от annulen

Есть серьезные сомнения в этом. Встроенные закладки от производителей — реальность. То-то цисковские роутеры в Ираке легли единомоментно по началу «Бури в пустыне»...

gns ★★★★★
()
Ответ на: комментарий от feudor

Ребята. Я хотел бы извиниться за свой тон. Я был некорректен в этом посте: «Ростелеком» открыл общий доступ к репозиторию безопасного свободного ПО (комментарий)

Всё это от переизбытка негатива, с которым я сталкиваюсь, в том числе и на работе. Комрад @gns ниже всё расписал. А я… Мне за державу обидно ©

UriZzz
()

В новости, похоже, ссылка на документацию софта, который используется для организации репозитория на серверах РТ. А сам вход в репозиторий для всех это вот этот?

Вход в репозиторий РТК-феникс

Vic
()
Ответ на: комментарий от emorozov

Проблема была и раньше актуальна, и три года назад, почему все забыли. А соревнования по самой скрытной уязвимости? А северокорейские хакеры что уже устали, они тоже там небось шуруют во всю, поэтому опенсорс штука хорошая, но глаз да глаз

Не понимаю страусов, которые прячут голову от проблемы, отрицая «очередной заговор»

I-Love-Microsoft ★★★★★
()

Надеюсь студентам которые это делали хотя бы что-то заплатили.

ei-grad ★★★★★
()
Ответ на: комментарий от router

омг) «дима, что ты делаешь, прекрати»… оно ещё и реклама it-курсов, охохооох

btw, интересно, где такой список в нормальном виде найти?

ei-grad ★★★★★
()
Ответ на: комментарий от ei-grad

В прошлом году он и был нормальным. Сейчас менее актуально, наверное подзабили

Когда я последний раз его смотрел, список был в разы больше, в т.ч. куча модулей для nodejs

router ★★★★★
()
Последнее исправление: router (всего исправлений: 1)
Ответ на: комментарий от UriZzz

просто сообщества - это итог того, что общество в состоянии поддерживать и вот это весь «fun» (я надеюсь, ты книгу Линуса про это читал? в этом разрезе я с Линусом полностью согласен, это пирамида Маслова типичная)

и вот тут нас и поджидает неожиданное [ну смотря для кого конечно же] открытие, что в РФ всё значительно с этим хужен в силу хотя бы более сурового климата и меньшей маржи с гектара клюквы (утрирую).

mumpster ★★★★★
()
Ответ на: комментарий от Skullnet

У меня был Онлайм, потом его купил РТ. Полноценный эзернет (IPoE в современной терминологии) без всяких PON, PPPoE и прочей дряни, за 10+ лет связь пропала от сгоревшего свитча в подвале толи на 2 часа, толи на 1 вечер. Я дико, дико, дико доволен. Пробовал акаду - весь веб через прокси с авторизацией на веб-страничке, заявленная скорость только для торрентов, какой-нибудь яндекс открывался минуту. Взял на тест когда квасили с другом, позвонили типа хоть попробуйте бесплатно месяц, пришёл монтажник, мы это поюзали, проблевались и больше я от РТ никуда не уходил.

yu-boot ★★★★★
()
Ответ на: комментарий от yu-boot

Пробовал акаду - весь веб через прокси с авторизацией на веб-страничке, заявленная скорость только для торрентов

Вот ещё она причина почему я держусь подальше от МТС-ов, Билайнов и прочих. Они всякие неведомые ху́йни придумывают, вроде Интернета через VPN по умолчанию.

Полноценный эзернет (IPoE в современной терминологии) без всяких PON

PON рулез, единственный недостаток - это хрупкость кабелей.

PPPoE и прочей дряни

Не понимаю что не так с PPPoE. Нормальный протокол, до сих пор активно юзается.

Skullnet ★★★★★
()
Ответ на: комментарий от Skullnet

Зачем какие-то дополнительные VPN, инкапсуляции, авторизации? Вот тебе влан, где ты и в прямой видимости шлюз - всё.

PON мало того, что делит полосу на всех, а тарифы а-ля 10мбит уже никому не интересны, там ещё и физически весь трафик видят все. На свитчах с вланами это невозможно. Но дороже для оператора, да.

yu-boot ★★★★★
()

Не понял. Ростелеком открыл репозитарий опенсорсного ПО потому, что опенсорсное ПО стало небезопасным и может содержать закладки?

jackill ★★★★★
()
Ответ на: комментарий от Skullnet

PON рулез, единственный недостаток - это хрупкость кабелей.

Нет. Сама технология - ущербна. Как верно заметили - ее единственный плюс для провайдера - ее дешевизна.

Что до «хрупкости кабеля» - оптоволокно не признак pon. Т.е. если вы видите оптику - это не означает, что используется pon.

В нормальной ситуации на коммутаторе режутся вланы для клиентов. Сам-же коммутатор уже, по оптике, соединяется дальше с ядром сети провайдера (упрощенно).

Не понимаю что не так с PPPoE. Нормальный протокол, до сих пор активно юзается.

Он нафиг не нужен при подключении домашних клиентов. Вы просто конфигурируете порт коммутатора и все. Этот ваш хваленый PPPoE -просто костыль для удешевления доступа, когда мы можем на 1 порт подсадить несколько клиентов. С одной стороны, таким образом мы экономим порты, с другой усложняем систему и делаем ее менее надежной.

То, что это все еще используется, по сути своей, уже легаси. Чтоб не перестраивать существующую систему по живому. Но многие провайдеры при подключении новых домов/клиентов уходят от этой практики.

Если говорить о ростелекоме - то единого стандарта у него нет. Причина этого банальна. Ростелеком - это лоскутное одеяло из скупленных в свое время различных провайдеров. И что самое поганое, рт не привел это все к единому стандарту, а продолжил банально использовать как есть. Именно по этой причине некоторые его хвалят (бывшие счастливые пользователи центрального телеграфа например), а некоторые кроют как могут неприличными словами (ситуация в спб тому яркий пример, когда в центре города и на васильевском острове до сих пор подключают по кабельным модемам). Т.е. рт даже не пытается привести свои сети к единому стандарту и качетву связи. Отсюда я делаю простой и банальный вывод - рт - э то (далее вырезано внутренней цензурой, потому как поток отборной брани шкалит даже по моим меркам).

DrRulez ★★★★
()
Ответ на: комментарий от DrRulez

Нет. Сама технология - ущербна.

Абсурд.

Тот же GPON:

  • Энергоэффективен, а ещё дешевый, но вы уже это сказали.
  • Можно кидать провод хоть на 20 км, витую пару максимум на 100м. Всё равно где-то по середине будет оптика, даже если в квартиру будет идти витая пара. Либо нужно какое-то другое решение, потому что сигнал затухает в медном кабеле плюс всякие наводки. Зачем трахаться, лучше сразу провести всем оптику. Следовательно при её использовании, задержка между тобой и провайдером минимальна.
  • Нет ограничений по скорости. Например, если 100 Мбит/c, то по витой паре можно ~11 Мб/c только в одну сторону. Причём провайдер настраивает так, чтобы загрузка была меньше. В GPON скорость в обе стороны будет максимальной.
  • Ну ещё PON сложнее похакать где-нибудь в середине.

И да, GPON как бы считается устаревшим, но до сих пор рулез.

Что до «хрупкости кабеля» - оптоволокно не признак pon.

Я знаю. У меня в телевизор заходит оптический аудио-кабель, но это абсолютно другое. Там разные коннекторы (SC/UPC, SC/APC в GPON), разные характеристики кабеля и так далее.

То, что это все еще используется, по сути своей, уже легаси. Чтоб не перестраивать существующую систему по живому. Но многие провайдеры при подключении новых домов/клиентов уходят от этой практики.

Да без проблем. Это только протокол. Если провайдер настроил у себя коннект по другому протоколу, я просто потом куплю более новый роутер и настрою на него. Проблемы то какие?

Если говорить о ростелекоме - то единого стандарта у него нет. Причина этого банальна. Ростелеком - это лоскутное одеяло из скупленных в свое время различных провайдеров.

Чтобы тот же ADSL массово заменить на оптику. Нужно дергать всех людей, сверлить стены и потолки, проводить новый кабель, ставить розетку, медиаконвертер. И если многоквартирные дома, то это ещё легко, потому что сразу захватываешь много людей, а есть ещё частный сектор, включая жилые дома. Некоторые люди до сих пор сидят на ADSL с его нищебродской скоростью и никакой оптики никому не проводят по понятным причинам. Некоторые люди даже 100 Мбит/c в глаза не видели. А я кайфую, качая торренты со скоростью почти как у USB 2.1, а у вас PON ущербен.

а некоторые кроют как могут неприличными словами (ситуация в спб тому яркий пример, когда в центре города и на васильевском острове до сих пор подключают по кабельным модемам). Т.е. рт даже не пытается привести свои сети к единому стандарту и качетву связи.

Я вот в центре своего города живу и у меня нормальный Интернет, а торговые центры подключены к какому-то ОПСоСному говну, потому что наверняка коррупция и провайдер занёс владельцу ТЦ. Другая ситуация, когда у тебя инфраструктура просто сама по себе говно и тащить оптику не получится по каким-либо причинам.

Skullnet ★★★★★
()
Последнее исправление: Skullnet (всего исправлений: 7)
Ответ на: комментарий от Skullnet

У меня не ростелеком и 1 000 Мбит/с по оптике с белым ip в РФ по цене ниже чем у ростелекома в моём регионе. ЧЯДНТ?

peregrine ★★★★★
()
Ответ на: комментарий от bernd

Что то вы все путаете РТК, который занимается раздачей интернета конечным пользователем, от РТК, который занимается разработкой софта.

ivanlex ★★★★★
()
Ответ на: комментарий от yandrey

В топку МТС. Хуже провайдера не видел никогда. ЭР-Телеком туда же. А с ними заодно и РТК, который интернет провайдер.

Представители этих трёх контор периодически мне названивают и предлагают воспользоваться их услугами:

  • МТС за 450 руб./мес.
  • Ростелеком за 450 руб./мес.
  • ЭР-Телеком за 650 руб./мес.

И это только за интернет, без телевидения.
При этом ЭР-Телеком еще и наглые вруны - подключили соседу интернет на скорости 200 мегабит по 4х-жильному проводу. Это как вообще?!

При этом, ни у одного из этих провайдеров нет программы лояльности к клиентам, которые пользуются их услугами длительное время. Только бонусы для новых клиентов.

Возможно для других регионов это приемлемые цены только за интернет.

ivanlex ★★★★★
()
Ответ на: комментарий от windprop2

По факту это множество компаний, которые владеют частями акций друг друга… И одна контора совсем не знает чем занимается другая.

Но сейчас по моему везде так.

ivanlex ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.