ওপেন সোর্স রিপোজিটরিগুলি আধুনিক অ্যাপ্লিকেশনগুলি চালানো এবং লেখার জন্য গুরুত্বপূর্ণ, তবে সতর্ক থাকুন - অসাবধানতা মাইন বিস্ফোরণ এবং সফ্টওয়্যার পরিকাঠামোতে পিছনের দরজা এবং দুর্বলতা ইনজেক্ট করতে পারে। আইটি বিভাগ এবং প্রকল্প রক্ষণাবেক্ষণকারীদের একটি প্রকল্পের নিরাপত্তা ক্ষমতা মূল্যায়ন করতে হবে যাতে দূষিত কোড অ্যাপ্লিকেশনটিতে অন্তর্ভুক্ত করা হচ্ছে না তা নিশ্চিত করতে।
সাইবারসিকিউরিটি অ্যান্ড ইনফ্রাস্ট্রাকচার সিকিউরিটি এজেন্সি (সিআইএসএ) এবং ওপেন সোর্স সিকিউরিটি ফাউন্ডেশন (ওপেনএসএসএফ) থেকে একটি নতুন নিরাপত্তা কাঠামো প্রকল্পের রক্ষণাবেক্ষণকারীদের জন্য মাল্টি-ফ্যাক্টর প্রমাণীকরণ, তৃতীয় পক্ষের নিরাপত্তা রিপোর্টিং ক্ষমতা এবং পুরানো বা অনিরাপদ প্যাকেজগুলির জন্য সতর্কতার মতো নিয়ন্ত্রণের সুপারিশ করে। পাবলিক রিপোজিটরিতে ওপেন-সোর্স কোড হিসাবে মাস্করেডিং দূষিত কোড এবং প্যাকেজগুলির এক্সপোজার কমাতে সহায়তা করে।
ওপেনএসএসএফ-এর জেনারেল ম্যানেজার ওমখার আরাসারত্নম বলেছেন, "ওপেন-সোর্স সম্প্রদায় এই প্যাকেজগুলি আনার জন্য এই জলের গর্তগুলির চারপাশে জড়ো হয়, তাদের হতে হবে - একটি পরিকাঠামোর দৃষ্টিকোণ থেকে - সুরক্ষিত।"
যেখানে খারাপ কোড পাওয়া যাবে
সেই জলের গর্তগুলির মধ্যে রয়েছে গিথুব, যা সম্পূর্ণ প্রোগ্রাম, প্রোগ্রামিং সরঞ্জাম বা API গুলি হোস্ট করে যা অনলাইন পরিষেবাগুলির সাথে সফ্টওয়্যার সংযুক্ত করে৷ অন্যান্য সংগ্রহস্থলের মধ্যে রয়েছে PyPI, যা পাইথন প্যাকেজগুলি হোস্ট করে; NPM, যা একটি জাভাস্ক্রিপ্ট সংগ্রহস্থল; এবং মাভেন সেন্ট্রাল, যা একটি জাভা সংগ্রহস্থল। পাইথন, রাস্ট এবং অন্যান্য প্রোগ্রামিং ভাষায় লেখা কোড একাধিক প্যাকেজ সংগ্রহস্থল থেকে লাইব্রেরি ডাউনলোড করে।
বিকাশকারীরা অনিচ্ছাকৃতভাবে দূষিত সফ্টওয়্যার টেনে আনতে প্রতারিত হতে পারে যা প্যাকেজ ম্যানেজারগুলিতে ইনজেক্ট করা যেতে পারে, যা হ্যাকারদের সিস্টেমে অ্যাক্সেস দিতে পারে। পাইথন এবং রাস্টের মতো ভাষায় লেখা প্রোগ্রামে ক্ষতিকারক সফ্টওয়্যার অন্তর্ভুক্ত হতে পারে যদি ডেভেলপাররা ভুল URL-এর সাথে লিঙ্ক করে।
"প্যাকেজ রিপোজিটরি সিকিউরিটির জন্য নীতি"-এর নির্দেশিকাগুলি ইতিমধ্যে সংগ্রহস্থলগুলির দ্বারা গৃহীত সুরক্ষা প্রচেষ্টার উপর ভিত্তি করে তৈরি করে৷ পাইথন সফটওয়্যার ফাউন্ডেশন গত বছর সিগস্টোর গ্রহণ করেছে, যা এর PyPI এবং অন্যান্য সংগ্রহস্থলের মধ্যে থাকা প্যাকেজগুলির অখণ্ডতা এবং উত্স নিশ্চিত করে।
রিপোজিটরি জুড়ে নিরাপত্তা খুব খারাপ নয়, তবে এটি অসামঞ্জস্যপূর্ণ, আরাসারতনম বলেছেন।
"প্রথম অংশটি হল সম্প্রদায়ের মধ্যে আরও কিছু জনপ্রিয় … এবং তাৎপর্যপূর্ণকে একত্রিত করা এবং তাদের জুড়ে সর্বজনীনভাবে ব্যবহার করা যেতে পারে এমন নিয়ন্ত্রণের একটি সেট স্থাপন করা শুরু করা," বলেছেন আরাসারত্নম৷
প্যাকেজ রিপোজিটরি সিকিউরিটির জন্য CISA-এর নীতিমালায় দেওয়া নির্দেশিকা নেমস্ক্যাটিং-এর মতো ঘটনাগুলিকে প্রতিরোধ করতে পারে, যেখানে ডেভেলপাররা ভুল ফাইলের নাম বা URL ভুল টাইপ করে দূষিত প্যাকেজ ডাউনলোড করতে পারে।
"আপনি ভুলবশত প্যাকেজের একটি দূষিত সংস্করণ বুট করতে পারেন, অথবা এটি এমন একটি দৃশ্য হতে পারে যেখানে কেউ রক্ষণাবেক্ষণকারীর পরিচয়ের অধীনে দূষিত কোড আপলোড করেছে তবে শুধুমাত্র মেশিনে আপসের কারণে," আরাসারত্নম বলেছেন।
দূষিত প্যাকেজ শনাক্ত করা কঠিন
নিউইয়র্কে গত বছরের নভেম্বরে অনুষ্ঠিত ওপেন সোর্স ইন ফাইন্যান্স ফোরামে ওপেন সোর্স নিরাপত্তার প্যানেল সেশনে রিপোজিটরিতে প্যাকেজের নিরাপত্তা প্রাধান্য পেয়েছে।
“এটি ব্রাউজারগুলির পুরানো দিনের মতো যখন তারা সহজাতভাবে দুর্বল ছিল। প্যানেল আলোচনার সময় সোনাটাইপের সহ-প্রতিষ্ঠাতা এবং চিফ টেকনোলজি অফিসার ব্রায়ান ফক্স বলেছেন, লোকেরা একটি দূষিত ওয়েবসাইটে যাবে, একটি ব্যাকডোর ড্রপ করবে এবং তারপরে যাবে 'ওহো, এটি সাইট নয়।
"আমরা 250,000 টিরও বেশি উপাদানগুলিকে ভালভাবে ট্র্যাক করছি যা ইচ্ছাকৃতভাবে দূষিত ছিল," ফক্স বলেছেন৷
আইটি বিভাগগুলি দূষিত কোড এবং প্যাকেজগুলিকে ওপেন-সোর্স কোড হিসাবে ছদ্মবেশে ধরতে আসছে, কয়েক মাস আগে ওএসএফএফ সম্মেলনে সিটিতে সাইবার অপারেশনের ব্যবস্থাপনা পরিচালক এবং গ্লোবাল হেড অ্যান ব্যারন-ডিকামিলো বলেছিলেন।
“গত বছর ধরে দূষিত প্যাকেজ সম্পর্কে কথা বললে, আমরা আগের বছরের তুলনায় দ্বিগুণ বৃদ্ধি দেখেছি। এটি আমাদের উন্নয়ন সম্প্রদায়ের সাথে যুক্ত একটি বাস্তবতা হয়ে উঠছে, "ব্যারন-ডিক্যামিলো বলেছেন।
- এসইও চালিত বিষয়বস্তু এবং পিআর বিতরণ। আজই পরিবর্ধিত পান।
- PlatoData.Network উল্লম্ব জেনারেটিভ Ai. নিজেকে ক্ষমতায়িত করুন। এখানে প্রবেশ করুন.
- প্লেটোএআইস্ট্রিম। Web3 ইন্টেলিজেন্স। জ্ঞান প্রসারিত. এখানে প্রবেশ করুন.
- প্লেটোইএসজি। কার্বন, ক্লিনটেক, শক্তি, পরিবেশ সৌর, বর্জ্য ব্যবস্থাপনা. এখানে প্রবেশ করুন.
- প্লেটো হেলথ। বায়োটেক এবং ক্লিনিক্যাল ট্রায়াল ইন্টেলিজেন্স। এখানে প্রবেশ করুন.
- উত্স: https://www.darkreading.com/application-security/untitled
- : আছে
- : হয়
- :না
- :কোথায়
- $ ইউপি
- 000
- 250
- 7
- a
- সম্পর্কে
- প্রবেশ
- দুর্ঘটনাক্রমে
- দিয়ে
- গৃহীত
- এজেন্সি
- পূর্বে
- ইতিমধ্যে
- an
- এবং
- এবং অবকাঠামো
- Ann
- API গুলি
- আবেদন
- অ্যাপ্লিকেশন
- রয়েছি
- কাছাকাছি
- AS
- পরিমাপ করা
- যুক্ত
- At
- প্রমাণীকরণ
- পিছনের দরজা
- পিছনে
- খারাপ
- BE
- মানানসই
- হচ্ছে
- হুঁশিয়ার
- ব্রায়ান
- ব্রাউজার
- নির্মাণ করা
- কিন্তু
- by
- CAN
- ক্ষমতা
- মধ্য
- নেতা
- মুখ্য প্রযুক্তিবিদ্যা অফিসার
- সিটি
- সহ - প্রতিষ্ঠাতা
- কোড
- আসছে
- সম্প্রদায়
- উপাদান
- আপস
- সম্মেলন
- সংযোগ করা
- অন্তর্ভুক্ত
- নিয়ন্ত্রণগুলি
- পারা
- সংকটপূর্ণ
- সাইবার
- সাইবার নিরাপত্তা
- দিন
- বিভাগের
- ডেভেলপারদের
- উন্নয়ন
- Director
- আলোচনা
- অধীন
- ডাউনলোড
- বাদ
- কারণে
- সময়
- প্রচেষ্টা
- সক্রিয়
- নিশ্চিত করা
- নিশ্চিত
- সমগ্র
- স্থাপন করা
- প্রকাশ
- কয়েক
- ফাইল
- অর্থ
- প্রথম
- জন্য
- ফোরাম
- পাওয়া
- ভিত
- শিয়াল
- ফ্রেমওয়ার্ক
- থেকে
- সংগ্রহ করা
- সাধারণ
- পাওয়া
- GitHub
- দাও
- বিশ্বব্যাপী
- Go
- বাণিজ্য
- নির্দেশিকা
- হ্যাকার
- কঠিনতর
- আছে
- মাথা
- দখলী
- সাহায্য
- গর্ত
- হোস্ট
- কিভাবে
- কিভাবে
- HTTPS দ্বারা
- পরিচয়
- if
- in
- অন্তর্ভুক্ত করা
- অন্তর্ভূক্ত
- বৃদ্ধি
- পরিকাঠামো
- অবকাঠামো
- মজ্জাগতভাবে
- উদ্বুদ্ধ করা
- নিরাপত্তাহীন
- অখণ্ডতা
- ইচ্ছাকৃতভাবে
- মধ্যে
- আইএসএন
- IT
- এর
- জাভা
- জাভাস্ক্রিপ্ট
- JPG
- অরুপ
- ভাষাসমূহ
- গত
- গত বছর
- লাইব্রেরি
- মত
- LINK
- মেশিন
- বিদ্বেষপরায়ণ
- পরিচালক
- পরিচালকের
- পরিচালক
- ম্যানেজিং ডিরেক্টর
- ম্যাভেন
- মে..
- খনি
- আধুনিক
- মাসের
- অধিক
- বহু
- নাম
- প্রয়োজন
- নতুন
- নিউ ইয়র্ক
- নভেম্বর
- of
- অফিসার
- পুরাতন
- on
- ওগুলো
- অনলাইন
- কেবল
- খোলা
- ওপেন সোর্স
- ওপেন সোর্স কোড
- অপারেশনস
- or
- ক্রম
- অন্যান্য
- আমাদের
- বাইরে
- সেকেলে
- শেষ
- প্যাকেজ
- প্যাকেজ
- প্যানেল
- প্যানেল আলোচনা
- অংশ
- সম্প্রদায়
- পরিপ্রেক্ষিত
- Plato
- প্লেটো ডেটা ইন্টেলিজেন্স
- প্লেটোডাটা
- জনপ্রিয়
- প্রতিরোধ
- আগে
- নীতিগুলো
- প্রোগ্রামিং
- প্রোগ্রামিং ভাষা
- প্রোগ্রাম
- প্রকল্প
- উত্পত্তি
- প্রকাশ্য
- কাছে
- পাইথন
- RE
- বাস্তবতা
- চেনা
- বিশেষ পরামর্শ দেওয়া হচ্ছে
- হ্রাস করা
- প্রতিবেদন
- সংগ্রহস্থলের
- দৌড়
- জং
- s
- বলেছেন
- বলেছেন
- দৃশ্যকল্প
- নিরাপদ
- নিরাপত্তা
- দেখা
- সেবা
- সেশন
- সেট
- গুরুত্বপূর্ণ
- সাইট
- সফটওয়্যার
- কিছু
- উৎস
- শুরু
- এমন
- সিস্টেম
- প্রযুক্তিঃ
- যে
- সার্জারির
- তাহাদিগকে
- তারপর
- এইগুলো
- তারা
- তৃতীয় পক্ষের
- এই
- থেকে
- সরঞ্জাম
- অনুসরণকরণ
- প্রতারিত
- অধীনে
- সর্বজনীনভাবে
- আপলোড করা
- URL টি
- ব্যবহৃত
- সংস্করণ
- দুর্বলতা
- জেয়
- we
- ওয়েবসাইট
- আমরা একটি
- ছিল
- কখন
- যে
- সঙ্গে
- মধ্যে
- would
- লেখা
- লিখিত
- ভুল
- বছর
- বছর
- ইয়র্ক
- আপনি
- zephyrnet