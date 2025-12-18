Единый оператор букмекерских ставок и тотализаторов переходит на суверенное российское хранилище Java-библиотекПлатежный сервис в регулируемой индустрии развлечений «Единый ЦУПИС», инфраструктура которого в значительной степени завязана на Java-технологиях, в процессе разработки ПО теперь использует доверенный отечественный репозиторий Java-библиотек Axiom Repo. Внедрение продукта компании Axiom JDK позволит снизить опасность угрозы атак через цепочки поставок, количество которых продолжает расти.
«Единый ЦУПИС» продолжает миграцию на российскую Java
Как стало известно CNews, «Единый ЦУПИС» внедрил доверенный репозиторий компонентов Java – Axiom Repo российской компании Axiom JDK.
«Единый ЦУПИС» – кредитная организация, выполняющая функцию единого центра учета переводов ставок букмекерских контор и тотализаторов. Для компаний регулируемой индустрии развлечений подключение к сервисам организации является обязательным.
В основе ключевых финтех-сервисов «Единого ЦУПИС» лежат Java-компоненты. В апреле 2023 г. CNews писал о завершении их перевода на отечественную Java-платформу Axiom JDK Pro.
До подключения к Axiom Repo внешние зависимости организация получала из публичных репозиториев. Решение его базе призвано обеспечить безопасность цепочек поставки артефактов – компонентов на основе скомпилированного кода на языке программирования Java – и повышение защищенности процессов разработки высоконагруженных систем платежной отрасли.
По данным «Информзащиты», за первые восемь месяцев 2025 г. число атак на цепочки поставок компаний в России увеличилось на 110%, а доля происшествий с участием третьих сторон достигла 30% от всех киберинцидентов. В числе факторов, повышающих риск возникновение инцидентов такого рода, эксперты компании называют широкое использование открытого кода.
Результаты проекта
В рамках первого этапа внедрения Axiom Repo «Единый ЦУПИС» перевел группу финтех-сервисов, обеспечивающих проведение платежей, на платформу Axiom JDK. Именно они формируют наиболее нагруженный и критичный контур системы. По собственным данным организации, ее платежные сервисы обслуживают более 25 млн кошельков клиентов и проводит более 2,5 млн платежей в сутки.
Интеграция инфраструктуры разработки с репозиторием была настроен единожды, после чего все процессы сборки сервисов продолжили работать в обычном режиме.
Проект по внедрению Axiom Repo был реализован собственными силами организации за один месяц, утверждают в «Едином ЦУПИС». Объем финансовых расходов на его реализацию стороны не уточняют, однако в Axiom JDK рассказали CNews, что пользование Axiom Repo обходится ее клиентам в 7 млн руб. в год.
«В результате на Axiom Repo переведено более 200 отдельных сервисов, переключено более 400 приватных репозиториев», – заявил в разговоре с CNews Александр фон Розен, технический директор, член правления кредитной организации.
В Axiom JDK рассказали CNews, что по запросу «Единого ЦУПИС» в репозиторий было добавлено несколько десятков Java-библиотек. В целом же он пополняется регулярно со скоростью около 1 тыс. артефактов в месяц.
«Ежедневно мы выпускаем более 20 релизов – столь высокий темп разработки ПО заставляет обращать особое внимание на соответствие подключаемых публичных библиотек как формальным регуляторным требованиям, так и фактическим практикам информационной безопасности. В этой связи внедрение Axiom Repo – не просто еще один шаг на пути поддержки российских технологических компаний, но и отличный способ повысить защищенность нашей платежной платформы», – отметил Александр фон Розен.
В дальнейшем «Единый ЦУПИС» намерен перевести всю Java-разработку на Axiom Repo, а также продолжить переход на технологии экосистемы Axiom JDK.
Подробнее об Axiom Repo
Axiom Repo является доверенным промышленным репозиторием для Java-компонентов, совместимым с популярными фреймворками для автоматизации сборки Java-проектов – Maven и Gradle. Он обеспечивает поставку более чем 4 тыс. библиотек и бинарных артефактов, собираемых в воспроизводимой проверяемой среде с применением криптографической подписи на каждом этапе.
Александр Крылов, «Штурвал»: «Ванильный» Kubernetes больше не нужен
С июля 2025 г. продукт входит в реестр российского ПО и интегрируется с продуктами экосистемы Axiom JDK, основной которой является одноименная платформа разработки и исполнения Java, в свою очередь представляющая собой дистрибутив OpenJDK – бесплатной реализации платформы корпорации Oracle Java SE с открытым исходным кодом
«Каждый артефакт собирается из исходных кодов с обязательной проверкой лицензий, аудитом безопасности и соблюдением требований ГОСТ по безопасной разработке. Особое внимание уделяется воспроизводимости сборок, что позволяет исключить скрытые или непредсказуемые изменения в коде. На Java в России работают порядка 90% финтеха и 70% корпоративных систем, поэтому для защиты цепочек поставок ПО особенно важен репозиторий Java», – поясняют в Axiom JDK.
Проверка артефактов, размещаемых в репозитории, специалисты Axiom JDK включает их статический, динамический анализ, а также сканирование антивирусным ПО. Кроме того, клиентов посредством API уведомляют об известных уязвимостях, чтобы исключить возможность появления опасных компонентов в составе клиентских приложений.
Отвечая на вопрос CNews о количестве специалистов, задействованных в поддержке доверенного репозитория Java-компонентов, в Axiom JDK назвали его «достаточным» и подчеркнули готовность направить дополнительные ресурсы в случае возникновения такой потребности.
«Команда Axiom JDK на 80% состоит из инженеров. Доверенный репозиторий – один из наиболее приоритетных продуктов, с учетом важности контроля цепочек поставок ПО. Команда задействует необходимое количество инженеров для ежемесячного пополнения репозитория. На текущий момент в среднем в месяц мы обрабатываем и анализируем в соответствии со стандартами ГОСТ Р 56939-2016 на РБПО (разработка безопасносного программного обеспечения; – прим. CNews) 1 тыс. и более библиотек. При необходимости есть потенциал привлечения большего количества ресурсов к развитию Axiom Repo, если будут запросы от клиентов», – отметил представитель компании-разработчика.
В России и в реестре российского ПО Axiom Repo – первый и единственный на сегодняшний день репозиторий Java-библиотек, утверждают в Axiom JDK.
Среди зарубежных участников рынка похожий сервис под названием Chainguard Libraries предлагает американская компания Chainguard. Включаемые в него артефакты Maven поступают из общедоступного репозитория Maven Central Repository. Запуск сервиса Libraries для Java Chainguard анонсировала в мае 2025 г.