CodeScoring представила OSA Proxy для защиты цепочки поставок ПО

CodeScoring представила OSA Proxy для защиты цепочки поставок ПО

CodeScoring представила OSA Proxy для защиты цепочки поставок ПО

Платформа CodeScoring представила новый сервис OSA Proxy — инструмент для контроля безопасности компонентов с открытым исходным кодом ещё до того, как они попадут в корпоративную инфраструктуру. Решение стало частью модуля CodeScoring.OSA и ориентировано на защиту цепочки поставок ПО на самом раннем этапе разработки.

В отличие от классического подхода, когда композиционный анализ проводится уже после загрузки зависимостей, OSA Proxy работает в момент установки пакетов.

Сервис перехватывает запросы пакетных менеджеров к внешним индексам и проверяет сторонние компоненты на соответствие заданным политикам безопасности. Если версия пакета признана небезопасной, её можно заблокировать ещё до появления в среде разработки.

OSA Proxy поддерживает популярные экосистемы и репозитории, включая Maven Central, NPM, PyPI, NuGet, Go Modules и пакеты Debian, а также альтернативные хранилища, совместимые с официальными спецификациями. При этом сервис не привязан к конкретным хранилищам артефактов и может работать как с ними, так и вовсе без них — в зависимости от того, как устроена инфраструктура в компании.

Технически решение выступает в роли прокси между пакетным менеджером и внешним репозиторием. Оно может фильтровать небезопасные версии, изменять ответы репозиториев, пересчитывать контрольные суммы и перенаправлять ссылки, сохраняя корректность форматов и стабильность работы сборки. Предусмотрены разные режимы использования — от пассивного мониторинга до активной блокировки компонентов.

Сканирование выполняется как на уровне манифестов зависимостей, так и для отдельных пакетов. В основе сервиса лежит асинхронная модель обработки запросов и механизм автоматических повторов, что позволяет ему устойчиво работать при высокой нагрузке или временных сбоях внешних сервисов.

OSA Proxy доступен всем пользователям модуля CodeScoring.OSA и ориентирован на компании, которые хотят усилить контроль за использованием open source без серьёзных изменений в существующих процессах разработки и инфраструктуре.

Квантовая сеть РЖД получила аттестат ФСТЭК и вышла на внешний рынок

Магистральная квантовая сеть РЖД прошла аттестацию ФСТЭК. Документ подтвердил, что инфраструктура соответствует требованиям к информационным системам второго класса защищенности. Для РЖД это не просто красивая бумага в рамке.

Теперь компания сможет оказывать услуги на базе квантовой сети сторонним организациям — от банков и промышленных предприятий до медицинских и транспортных компаний.

Главная ставка делается на защиту критически важных данных. Квантовые коммуникации позволяют обнаружить попытку перехвата ключей шифрования: вмешательство в канал меняет состояние передаваемых частиц и не остается незамеченным.

Поэтому технология особенно интересна владельцам объектов критической информационной инфраструктуры, которым обычного «сложного пароля» уже явно недостаточно.

В финансовой отрасли квантовые каналы уже обкатывают Банк России, Федеральное казначейство, Финансовый университет и крупнейшие банки. Потенциальными клиентами также называют нефтегазовые компании, промышленность, здравоохранение и транспорт.

В Минцифры считают, что технология уже достигла достаточно высокого уровня зрелости. Расширение квантовой сети до 2030 года включено в профильную дорожную карту и национальный проект «Экономика данных».

Получается, РЖД постепенно превращается не только в перевозчика пассажиров и грузов, но и в оператора защищенных цифровых магистралей. Рельсы остаются на месте, только теперь по ним условно поедут еще и квантовые ключи.

RSS: Новости на портале Anti-Malware.ru