LINUX.ORG.RU

«Ростелеком» открыл общий доступ к репозиторию безопасного свободного ПО

 , ,


3

3

«Ростелеком» создал доверенный репозиторий открытого кода. Компания выпустила решение на рынок из-за участившихся кибератак и потому, что использование Open Source стало небезопасно из-за возможных закладок в нем.

«РТК-феникс» — это репозиторий, который представляет собой комплексное решение по проверке Open Source пакетов, библиотек и их хранения. Продукт базируется на подсистеме мониторинга безопасности кода по собственным методикам SOC (Security Operation Center, центр управления безопасностью) «Ростелекома», включая анализатор кода приложений на наличие уязвимостей Solar AppScreener и другие ИБ-инструменты.

Подсистема делает вывод о возможности либо запрете использования пакетов и библиотек на основе результатов их проверки. ПО дополнительно проверяет все дочерние, то есть транзитивные зависимости открытого кода.

Репозиторий работает в онлайн- и офлайн-режимах и поддерживает функционал проверки на безопасность, хранение и предоставление командам разработки безопасных артефактов в форматах maven, pypi, deb, rpm, gem, npm, nuget, к которым в ближайшее время добавятся php, go, dart и docker.

РТК-феникс

>>> Подробности (CNews)

★★★★★

Проверено: maxcom ()
Последнее исправление: hobbit (всего исправлений: 2)

использование Open Source стало небезопасно из-за возможных закладок в нем.

Кругом враги. Только отечественные закладки спасут отечество!

PPP328 ★★★★★
()

Краткое изложение для Ъ. Судя по анонсам, заточено оно под библиотеки. Попасть в репозиторий — тот ещё квест. Его адрес можно найти в «Руководстве пользователя», который есть в формате PDF на сайте РТК-Феникса, но на момент написания этого комментария попытка перехода по этому адресу перекидывает на адрес одного из местных филиалов самого Ростелекома, поэтому сейчас я даже ссылку на него давать не буду, кому интересно — найдёте сами.

Поэтому не то, чтобы «расходимся», но пока ждём более внятной информации. Сама затея безусловно интересная.

hobbit ★★★★★
() автор топика
Последнее исправление: hobbit (всего исправлений: 1)
Ответ на: комментарий от hobbit

Ага и исходники своих пакетов скажут приносить на CD-R дисках чтобы избежать добавление вредоносного кода при передачи по сети...приходишь в отделение с диском, береш талончик и ждешь свой очереди, бабка в окне снимает твою телеметрию, берет сидюк и отправляет на проверку бабке в соседнем кабинете, если ей все нравится, оплачиваешь гос пошлину и ждешь от 7 до 14 дней, пока не добавят на сайт.

Kolins ★★★★
()

…в настоящее время в сети существует… живут… существуют большое количество разнообразных злоумышленников… двоеточие… хакеры, крекеры, спамы, куки, закладки, троянские кони…

anonymous_sapiens ★★★★★
()
Последнее исправление: anonymous_sapiens (всего исправлений: 3)

Что-то мракобесят опять…

zx_gamer ★★★
()
Ответ на: комментарий от Kolins

Скорее надо использовать «электронную подпись», полученную на госуслугах.

Для тех кто не в теме, можете погуглить, почему я написал «электронная подпись» в кавычках.

zx_gamer ★★★
()
Ответ на: комментарий от MagicMirror

Поисковик не гугл случайно? Что то он вас постоянно на каких то троллей кидает.

UriZzz
()
Ответ на: комментарий от MagicMirror

А дальше осознайте, что «цифровая подпись» на госуслугах не имеет вообще ничего общего с цифровой подписью.

И да, умение искать информацию – бесценный навык. Конечно же я не буду лишать вас возможности лишний раз в нём попрактиковаться.

zx_gamer ★★★
()
Ответ на: комментарий от hobbit

Попасть в репозиторий — тот ещё квест.

Но это же лучше, чем когда любой Вася может добавить свой leftpad

annulen ★★★★★
()
Ответ на: комментарий от UriZzz

Что такое «свой»? Рукодельный?

Просто я свидетельствовал во многих историях перебоя или оттока скорости на ростелекоме, что дома, что в компаниях. Стало более, чем поводом, чтобы не подпускать их близко к своему дому.

xt1zer
()
Последнее исправление: xt1zer (всего исправлений: 1)

кеш проверенных артефактов. я бы сказал это круто. очень даже неплохо

vstartsev
()
Ответ на: комментарий от s-warus
  • Предоставление пользовательского интерфейса (UI) для мониторинга и просмотра информации об артефактах.

пока можно только самому найти. публикация в сторонних ресурсах силами самих ресурсов. как и все новости впрочем на этих ресурсах)

vstartsev
()
Ответ на: комментарий от xt1zer

Звиняй, я тебя не так понял. Да, такое бывает, хотя редко. У меня дома оптоволокно от РТК.

UriZzz
()
Ответ на: комментарий от hobbit

Поэтому не то, чтобы «расходимся», но пока ждём более внятной информации.

А в чем тогда новость?

Сама затея безусловно интересная.

Нет.

MoldAndLimeHoney
()
Ответ на: комментарий от Kolins

Не барское это дело, подкреплять спорные утверждения ссылками.

MagicMirror ★★
()
Ответ на: комментарий от Kolins

Лень искать. Короче «цифровые подписи» в документообороте РФ полностью завязаны на централизованных государственных серверах.

Собственно это понятно уже потому, что вам дают ЭЦП, а не вы даете им свой публичный ключ, как это делается в настоящих цифровых подписях. Такая подпись защищена не криптографией, а авторитетом госуслуг. Что для вас большей авторитет – свойства эллиптической кривой или госуслуги – решайте сами.

zx_gamer ★★★
()

тег «ростелеком» добавлен в игнор, на ряду с «импортозамещение» и «клоунада».

qbbr ★★★★★
()
Ответ на: комментарий от alex1101

Скорее репозиторий проверенных либ/приложений.

sambo ★★
()

Какой ужасный сайт. Особенно на мониторе 28".

exst ★★★★
()
Ответ на: комментарий от zx_gamer

Лень искать. Короче «цифровые подписи» в документообороте РФ полностью завязаны на централизованных государственных серверах.

Ложь. Операции с УКЭП могут проводиться полностью оффлайн.

Собственно это понятно уже потому, что вам дают ЭЦП, а не вы даете им свой публичный ключ, как это делается в настоящих цифровых подписях.

В нормальных УЦ всё как надо делается, не надо тут наводить FUD.

а авторитетом госуслуг.

Госуслуги вообще никаким боком не связаны с ЭП.

MagicMirror ★★
()
Инсталляция системы выполняется на RedOS 7.3 по следующему алгоритму.
1. Скопировать из дистрибутивного пакета, размещенного в
nexus.rt.ru/repository/rit_protectedrepo, каталог repository-infrastructure

Ссылка нерабочая :( ЧЯДНТ?

(И да, на сайте бы шрифт поменьше… Ужос когда буквы в половину экрана)

LINUX-ORG-RU ★★★★★
()
Последнее исправление: LINUX-ORG-RU (всего исправлений: 1)
Ответ на: комментарий от PPP328

Кругом враги. Только отечественные закладки спасут отечество!

«Кругом не кругом», но после прошлогодних эксцессов, увы, это необходимость. «Спасибо» хактивистам, которые угробили доверие. Надеюсь, что их резюме не будут рассматривать ни в одной приличной компании.

X-Pilot ★★★★★
()
Ответ на: комментарий от qbbr

Прикрасно. Осталось самовыпилиться, и вообще зашибись будет.

Вот только что конкретно в подобных новостях вызывает такую неадекватную реакцию в таких вот типчиках, так и останется тайной покрытой мраком.

UriZzz
()
Последнее исправление: UriZzz (всего исправлений: 1)

Это как раньше ЦПС в Калинине был.

Сдавали распечатки, нормоконтроль по госту, не то что этот ваш гитхаб

akho
()
Ответ на: комментарий от UriZzz

в таких вот типчиках

Чему заболеванию

Вроде бы твой оппонент никого лично не оскорблял и диагнозов не ставил. Хотя его резкую позицию я не одобряю, но к тому, что я вижу, пройдя на ссылке, у меня тоже есть вопросы (частично я про это написал выше). Хотя сама идея такого репозитория, в принципе, вполне здравая.

hobbit ★★★★★
() автор топика
Последнее исправление: hobbit (всего исправлений: 1)

Для жалующихся на «глючную компанию» — я дома в Рязани пользуюсь проводным интернетом от Ростелекома. Самим интернетом доволен, хотя роутер, похоже, таки пора менять, ему много лет уже. А ещё Ростелеком провёл проводной же интернет в деревню к моей тёще, где мобильные операторы работают, скажем прямо, так себе, там по вайберу проще дозвониться, чем по GSM. Может, в столицах у РТ другая репутация…

Другое дело, что РТ — крупная монструозная компания со всеми вытекающими (по общению с ТП это хорошо заметно, правда, я уж и не упомню, когда последний раз приходилось с ними общаться).

hobbit ★★★★★
() автор топика
Последнее исправление: hobbit (всего исправлений: 1)
Ответ на: комментарий от hobbit

Это просто защита от любителей насовать жёлто-синих сердечек в бибиотеках.

Но комментарии на ЛОР, конечно же, будут про другое.

Aceler ★★★★★
()

Прикольно они в Инструкции по установке используют слово инсталляция. Очевидно речь идёт о пространственной композиции в современном искусстве.

thegoldone ★★
()
Ответ на: комментарий от Aceler

Я не нашёл на их сайте ответа, смогут ли, допустим, сами авторы размещать свои проекты, и если да, то как там зарегистрироваться. Или же предполагается, что некие прокси-люди будет загружать проекты с гитхаба, сорсфорджа и иже с ними и проверять их.

И судя по тому, что первая фраза в списке функций проекта — «Загрузка данных из открытых интернет-источников по запросу пользователей», таки похоже на второе.

hobbit ★★★★★
() автор топика
Последнее исправление: hobbit (всего исправлений: 1)

доверенный

Это означает он протестирован в течении 40 лет и код софта не содержит ошибки?..

xwicked ★★☆
()
Ответ на: комментарий от hobbit

диагнозов не ставил

резкую позицию

Я бы добавил - «странную», потому как не нашел в новости вообще никаких триггеров способных спровоцировать подобную реакцию.

Нам в посёлок тоже провели оптоволокно, интернет и ТВ. Сбои и падение скорости редко но бываею. А ещё порой могут повесить какую нибудь дополнительную подписку, естественно не оповестив нас. Вот как недавно подписка на ЛитРес, узнали о ней только когда подошло время оплачивать. Такое тоже редко но бывает.

UriZzz
()
Последнее исправление: UriZzz (всего исправлений: 1)
Ответ на: комментарий от hobbit

Пользователи в данном случае — это разработчики различных приложений как из самого РТ, так и из других крупных контор, которым нужна такая прокся.

Ну то есть второе. Для первого есть мосхаб :-)

Aceler ★★★★★
()
Ответ на: комментарий от zx_gamer

Для тех кто не в теме, можете погуглить, почему я написал «электронная подпись» в кавычках.

А для тех, кто в теме, совершенно очевидно, что ты написал «электронная подпись» в кавычках, потому что тебе надули в уши журналисты из медузы. И как устроена ЭЦП на госуслугах ты не знаешь.

Aceler ★★★★★
()
Ответ на: комментарий от Aceler

Мне был бы интересен ресурс, который бы поддерживал российских разработчиков ПО. Которые могли бы на нём не только что-то перепаковывать или проверять, а разрабатывать свои программы, библиотеки и др.

А этот проект, судя по первому впечатлению, исключительно для «грамотного потребления», как выражался наш бывший министр образования, того, что сделано на Западе. Или на Востоке. Повторюсь, это первое впечатление, оно может быть и ошибочным.

Я не отрицаю того, что «карантинный репозиторий» для защиты от «любителей насовать» нужен и полезен. Но когда идёт ориентация исключительно на «карантин» — возникают не очень хорошие мысли. И это хорошо объясняет, откуда у людей аллергия на слово «импортозамещение».

hobbit ★★★★★
() автор топика
Ответ на: комментарий от Aceler

Для первого есть мосхаб :-)

Масштаб не тот :-(

Да, есть ещё гитфлик и даже гит.орг.ру. Но там тем более масштаб не тот.

hobbit ★★★★★
() автор топика
Последнее исправление: hobbit (всего исправлений: 1)

зачем они сделали такой дизайн «вырви глаз» страницы ?

kolosok
()
Ответ на: комментарий от hobbit

Мне тоже был бы интересно такой ресурс. Но такой ресурс нужен сообществу, и создать его задача сообщества. А госы решают свои задачи и создают свои ресурсы.

Ещё можно попытаться убедить минкомсвязи, что именно такой ресурс нужен сообществу, и именно такой ресурс придаст толчок сообществу, а потом ещё и как-то сделать этот ресурс по-нормальному, а не на отвали. Мне кажется, это сложнее, хоть и на госденьги.

Aceler ★★★★★
()
Ответ на: комментарий от Aceler

А ещё на https://hub.mos.ru/ есть надпись «Добро пожаловать в сообщество», а под ней кнопочка «Войти через mos.ru», нажатие на которую вываливает 502 ошибку.

Upd: а, нет, с третьего раза что-то зашевелилось.

P.P.S. О, там даже любимое пугало ЛОРа — вход через Госуслуги есть (наряду с другими вариантами).

hobbit ★★★★★
() автор топика
Последнее исправление: hobbit (всего исправлений: 3)
Ответ на: комментарий от Aceler

Но такой ресурс нужен сообществу, и создать его задача сообщества. А госы решают свои задачи и создают свои ресурсы.

Вооот. Получается, государству задача развития сообщества собственных разработчиков, а не, мягко говоря, мейнтейнеров сделанного «за бугром» не особо-то и интересна.

hobbit ★★★★★
() автор топика
Ответ на: комментарий от hobbit

У государства сейчас не стоит задача развития сообщества разработчиков, как не стоит задача развития майнтейнеров. Не стоит даже задача по созданию какой-то своей экспертизы в разработке. И даже задача перехода на СПО на самом деле не стоит.

У государства сейчас пожар, рак на горе свистнул, жареный петух клюнул и стоит задача этот пожар погасить при имеющемся бюджете. О том, что он клюнет, было известно ещё в 2009-м. Нельзя сказать, что ничего не сделано, но не сделано ещё очень много из того, что делать очень долго. Например, воспитание разработчиков.

Я не уверен, что после затыкания пожара, государство в лице министерства займётся воспитанием разработчиков. Скорее всего, разработчики будут воспитываться сами, как и всегда. Будет спрос на них — уже хорошо.

Aceler ★★★★★
()

«использование Open Source стало небезопасно из-за возможных закладок в нем.»
В проприетарном закрытом софте закладки как-то менее возможны?
Или что это за наброс?

windprop2
()
Последнее исправление: windprop2 (всего исправлений: 1)
Ответ на: комментарий от windprop2

В проприетарном, как минимум, не прилетит в обновлении встроенная малварь, уничтожающая данные

annulen ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.