ওপেন-সোর্স প্যাকেজগুলি খনি নয় তা কীভাবে নিশ্চিত করবেন

ওপেন-সোর্স প্যাকেজগুলি খনি নয় তা কীভাবে নিশ্চিত করবেন

সময় স্ট্যাম্প: 7 মার্চ, 2024 10:00 অপরাহ্ন
কিভাবে নিশ্চিত করবেন যে ওপেন-সোর্স প্যাকেজগুলো মাইনস নয় প্লাটোব্লকচেন ডেটা ইন্টেলিজেন্স। উল্লম্ব অনুসন্ধান. আ.

ওপেন সোর্স রিপোজিটরিগুলি আধুনিক অ্যাপ্লিকেশনগুলি চালানো এবং লেখার জন্য গুরুত্বপূর্ণ, তবে সতর্ক থাকুন - অসাবধানতা মাইন বিস্ফোরণ এবং সফ্টওয়্যার পরিকাঠামোতে পিছনের দরজা এবং দুর্বলতা ইনজেক্ট করতে পারে। আইটি বিভাগ এবং প্রকল্প রক্ষণাবেক্ষণকারীদের একটি প্রকল্পের নিরাপত্তা ক্ষমতা মূল্যায়ন করতে হবে যাতে দূষিত কোড অ্যাপ্লিকেশনটিতে অন্তর্ভুক্ত করা হচ্ছে না তা নিশ্চিত করতে।

সাইবারসিকিউরিটি অ্যান্ড ইনফ্রাস্ট্রাকচার সিকিউরিটি এজেন্সি (সিআইএসএ) এবং ওপেন সোর্স সিকিউরিটি ফাউন্ডেশন (ওপেনএসএসএফ) থেকে একটি নতুন নিরাপত্তা কাঠামো প্রকল্পের রক্ষণাবেক্ষণকারীদের জন্য মাল্টি-ফ্যাক্টর প্রমাণীকরণ, তৃতীয় পক্ষের নিরাপত্তা রিপোর্টিং ক্ষমতা এবং পুরানো বা অনিরাপদ প্যাকেজগুলির জন্য সতর্কতার মতো নিয়ন্ত্রণের সুপারিশ করে। পাবলিক রিপোজিটরিতে ওপেন-সোর্স কোড হিসাবে মাস্করেডিং দূষিত কোড এবং প্যাকেজগুলির এক্সপোজার কমাতে সহায়তা করে।

ওপেনএসএসএফ-এর জেনারেল ম্যানেজার ওমখার আরাসারত্নম বলেছেন, "ওপেন-সোর্স সম্প্রদায় এই প্যাকেজগুলি আনার জন্য এই জলের গর্তগুলির চারপাশে জড়ো হয়, তাদের হতে হবে - একটি পরিকাঠামোর দৃষ্টিকোণ থেকে - সুরক্ষিত।"

যেখানে খারাপ কোড পাওয়া যাবে

সেই জলের গর্তগুলির মধ্যে রয়েছে গিথুব, যা সম্পূর্ণ প্রোগ্রাম, প্রোগ্রামিং সরঞ্জাম বা API গুলি হোস্ট করে যা অনলাইন পরিষেবাগুলির সাথে সফ্টওয়্যার সংযুক্ত করে৷ অন্যান্য সংগ্রহস্থলের মধ্যে রয়েছে PyPI, যা পাইথন প্যাকেজগুলি হোস্ট করে; NPM, যা একটি জাভাস্ক্রিপ্ট সংগ্রহস্থল; এবং মাভেন সেন্ট্রাল, যা একটি জাভা সংগ্রহস্থল। পাইথন, রাস্ট এবং অন্যান্য প্রোগ্রামিং ভাষায় লেখা কোড একাধিক প্যাকেজ সংগ্রহস্থল থেকে লাইব্রেরি ডাউনলোড করে।

বিকাশকারীরা অনিচ্ছাকৃতভাবে দূষিত সফ্টওয়্যার টেনে আনতে প্রতারিত হতে পারে যা প্যাকেজ ম্যানেজারগুলিতে ইনজেক্ট করা যেতে পারে, যা হ্যাকারদের সিস্টেমে অ্যাক্সেস দিতে পারে। পাইথন এবং রাস্টের মতো ভাষায় লেখা প্রোগ্রামে ক্ষতিকারক সফ্টওয়্যার অন্তর্ভুক্ত হতে পারে যদি ডেভেলপাররা ভুল URL-এর সাথে লিঙ্ক করে।

"প্যাকেজ রিপোজিটরি সিকিউরিটির জন্য নীতি"-এর নির্দেশিকাগুলি ইতিমধ্যে সংগ্রহস্থলগুলির দ্বারা গৃহীত সুরক্ষা প্রচেষ্টার উপর ভিত্তি করে তৈরি করে৷ পাইথন সফটওয়্যার ফাউন্ডেশন গত বছর সিগস্টোর গ্রহণ করেছে, যা এর PyPI এবং অন্যান্য সংগ্রহস্থলের মধ্যে থাকা প্যাকেজগুলির অখণ্ডতা এবং উত্স নিশ্চিত করে।

রিপোজিটরি জুড়ে নিরাপত্তা খুব খারাপ নয়, তবে এটি অসামঞ্জস্যপূর্ণ, আরাসারতনম বলেছেন।

"প্রথম অংশটি হল সম্প্রদায়ের মধ্যে আরও কিছু জনপ্রিয় … এবং তাৎপর্যপূর্ণকে একত্রিত করা এবং তাদের জুড়ে সর্বজনীনভাবে ব্যবহার করা যেতে পারে এমন নিয়ন্ত্রণের একটি সেট স্থাপন করা শুরু করা," বলেছেন আরাসারত্নম৷

প্যাকেজ রিপোজিটরি সিকিউরিটির জন্য CISA-এর নীতিমালায় দেওয়া নির্দেশিকা নেমস্ক্যাটিং-এর মতো ঘটনাগুলিকে প্রতিরোধ করতে পারে, যেখানে ডেভেলপাররা ভুল ফাইলের নাম বা URL ভুল টাইপ করে দূষিত প্যাকেজ ডাউনলোড করতে পারে।

"আপনি ভুলবশত প্যাকেজের একটি দূষিত সংস্করণ বুট করতে পারেন, অথবা এটি এমন একটি দৃশ্য হতে পারে যেখানে কেউ রক্ষণাবেক্ষণকারীর পরিচয়ের অধীনে দূষিত কোড আপলোড করেছে তবে শুধুমাত্র মেশিনে আপসের কারণে," আরাসারত্নম বলেছেন।

দূষিত প্যাকেজ শনাক্ত করা কঠিন

নিউইয়র্কে গত বছরের নভেম্বরে অনুষ্ঠিত ওপেন সোর্স ইন ফাইন্যান্স ফোরামে ওপেন সোর্স নিরাপত্তার প্যানেল সেশনে রিপোজিটরিতে প্যাকেজের নিরাপত্তা প্রাধান্য পেয়েছে।

“এটি ব্রাউজারগুলির পুরানো দিনের মতো যখন তারা সহজাতভাবে দুর্বল ছিল। প্যানেল আলোচনার সময় সোনাটাইপের সহ-প্রতিষ্ঠাতা এবং চিফ টেকনোলজি অফিসার ব্রায়ান ফক্স বলেছেন, লোকেরা একটি দূষিত ওয়েবসাইটে যাবে, একটি ব্যাকডোর ড্রপ করবে এবং তারপরে যাবে 'ওহো, এটি সাইট নয়।

"আমরা 250,000 টিরও বেশি উপাদানগুলিকে ভালভাবে ট্র্যাক করছি যা ইচ্ছাকৃতভাবে দূষিত ছিল," ফক্স বলেছেন৷

আইটি বিভাগগুলি দূষিত কোড এবং প্যাকেজগুলিকে ওপেন-সোর্স কোড হিসাবে ছদ্মবেশে ধরতে আসছে, কয়েক মাস আগে ওএসএফএফ সম্মেলনে সিটিতে সাইবার অপারেশনের ব্যবস্থাপনা পরিচালক এবং গ্লোবাল হেড অ্যান ব্যারন-ডিকামিলো বলেছিলেন।

“গত বছর ধরে দূষিত প্যাকেজ সম্পর্কে কথা বললে, আমরা আগের বছরের তুলনায় দ্বিগুণ বৃদ্ধি দেখেছি। এটি আমাদের উন্নয়ন সম্প্রদায়ের সাথে যুক্ত একটি বাস্তবতা হয়ে উঠছে, "ব্যারন-ডিক্যামিলো বলেছেন।

সময় স্ট্যাম্প:

থেকে আরো অন্ধকার পড়া

সাধারনভাবে সহ-প্রতিষ্ঠাতা এবং সিটিও, রবি ইথাল, এন্টারপ্রাইজ সিকিউরিটি টেক সাইবার ইনফ্লুয়েন্সারের শীর্ষ 10 তালিকায় নাম

উত্স ক্লাস্টার:
উত্স নোড: 1736736
সময় স্ট্যাম্প: অক্টোবর 31, 2022