ЕДИНЫЙ ЦУПИС выбрал доверенный репозиторий Java-библиотек Axiom Repo для повышения безопасности цепочек поставки ПО

Axiom Repo является доверенным промышленным репозиторием для Java-компонентов, совместимым с популярными инструментами Maven и Gradle. Он обеспечивает безопасную поставку более чем 4 000 библиотек и бинарных артефактов, собираемых в воспроизводимой проверяемой среде с применением криптографической подписи на каждом этапе. Продукт входит в реестр российского ПО и разработан в экосистеме Axiom JDK. Использование закрытого доверенного репозитория позволяет исключить риски, связанные с несанкционированным изменением компонентов и атаками на цепочки поставки — одним из ключевых типов угроз в современном производстве ПО.
 
ЕДИНЫЙ ЦУПИС — это высоконагруженная финтех-платформа, к которой предъявляются высокие регуляторные требования по безопасности, устойчивости и импортонезависимости. Выбор Axiom Repo обусловлен необходимостью обеспечить управляемость и прозрачность цепочек поставки ПО, а также положительным опытом эксплуатации промышленной Java-платформы Axiom JDK. Прогнозируемость развития продуктов, гарантийные обновления и экспертный уровень команды Axiom JDK стали ключевым факторами для ЕДИНОГО ЦУПИС.
 
В рамках первого этапа ЕДИНЫЙ ЦУПИС перевел группу финтех-сервисов, обеспечивающих проведение платежей, на платформу Axiom JDK с использованием Axiom Repo. Эти сервисы формируют наиболее нагруженный и критичный контур системы: более 2,5 млн платежей в сутки, свыше 19 млн пользователей, SLA 99,99%. Переход прошел бесшовно для разработки: настройки были выполнены один раз, после чего все процессы сборки сервисов продолжили работать в обычном режиме.
 
Ранее поставка внешних зависимостей осуществлялась посредством стандартных публичных репозиториев. Использование Axiom Repo формирует единый доверенный контур поставки для всех Java-компонентов. Репозиторий постоянно пополняется со скоростью порядка 1000 артефактов в месяц.
 
«Ежедневно мы выпускаем более 20 релизов — столь высокий темп разработки ПО заставляет обращать особое внимание на соответствие подключаемых публичных библиотек как формальным регуляторным требованиям, так и фактическим практикам информационной безопасности. В этой связи внедрение Axiom Repo — не просто еще один шаг на пути поддержки российских технологических компаний, но и отличный способ повысить защищенность нашей платежной платформы», — отметил технический директор, член правления ЕДИНОГО ЦУПИС Александр фон Розен.
 
«Последние годы стали серьезным стресс-тестом для российского ИБ-рынка и радикально изменили подходы к защите ПО. Сегодня ключевая угроза приходит изнутри — через цепочку поставок компонентов и библиотек, поэтому финансовая отрасль предъявляет особенно строгие требования к контролю сборок. Мы благодарим ЕДИНЫЙ ЦУПИС за выбор и уверены, что наши технологии и инженерная экспертиза смогут поддержать устойчивое развитие платежных и цифровых сервисов крупнейших финтех-проектов, обеспечивая полную прозрачность, доверие миллионов пользователей и технологическую независимость», — отметил Роман Карпов, директор по стратегии и развитию технологий Axiom JDK.
 
Проект успешно развивается. ЕДИНЫЙ ЦУПИС планирует перевод всей Java-разработки на использование Axiom Repo и дальнейшее расширение применение технологий экосистемы Axiom JDK.