So stellen Sie sicher, dass Open-Source-Pakete keine Minen sind

Open-Source-Repositorys sind für die Ausführung und das Schreiben moderner Anwendungen von entscheidender Bedeutung, aber Vorsicht – Unachtsamkeit könnte Minen zur Explosion bringen und Hintertüren und Schwachstellen in Software-Infrastrukturen einschleusen. IT-Abteilungen und Projektbetreuer müssen die Sicherheitsfähigkeiten eines Projekts bewerten, um sicherzustellen, dass kein Schadcode in die Anwendung integriert wird.

Ein neues Sicherheits-Framework der Cybersecurity and Infrastructure Security Agency (CISA) und der Open Source Security Foundation (OpenSSF) empfiehlt Kontrollen wie die Aktivierung der Multi-Faktor-Authentifizierung für Projektbetreuer, Sicherheitsberichtsfunktionen von Drittanbietern und Warnungen für veraltete oder unsichere Pakete Tragen Sie dazu bei, die Gefährdung durch bösartigen Code und Pakete zu reduzieren, die sich in öffentlichen Repositorys als Open-Source-Code ausgeben.

„Die Open-Source-Community versammelt sich um diese Wasserstellen, um diese Pakete abzurufen. Sie müssen – aus Infrastruktursicht – sicher sein“, sagt Omkhar Arasaratnam, General Manager von OpenSSF.

Wo fehlerhafter Code gefunden werden kann

Zu diesen Wasserlöchern gehört Github, das ganze Programme, Programmiertools oder APIs hostet, die Software mit Online-Diensten verbinden. Andere Repositorys umfassen PyPI, das Python-Pakete hostet; NPM, ein JavaScript-Repository; und Maven Central, ein Java-Repository. In Python, Rust und anderen Programmiersprachen geschriebener Code lädt Bibliotheken aus mehreren Paket-Repositorys herunter.

Entwickler könnten unbeabsichtigt dazu verleitet werden, schädliche Software einzuschleusen, die in Paketmanager eingeschleust werden könnte, wodurch Hacker Zugriff auf Systeme erhalten könnten. Programme, die in Sprachen wie Python und Rust geschrieben sind, könnten schädliche Software enthalten, wenn Entwickler auf die falsche URL verlinken.

Die Richtlinien in den „Grundsätzen für die Sicherheit von Paket-Repositorys“ bauen auf Sicherheitsbemühungen auf, die bereits von Repositorys übernommen wurden. Die Python Software Foundation letztes Jahr adoptierte Sigstore, das die Integrität und Herkunft der Pakete gewährleistet, die in seinem PyPI und anderen Repositorys enthalten sind.

Die Sicherheit in allen Repositories ist nicht besonders schlecht, aber inkonsistent, sagt Arasaratnam.

„Der erste Teil besteht darin, einige der bekannteren … und bedeutenderen Mitglieder der Community zusammenzubringen und damit zu beginnen, eine Reihe von Kontrollen zu etablieren, die überall in der Community verwendet werden können“, sagt Arasaratnam.

Die in den CISA-Grundsätzen für Paket-Repository-Sicherheit dargelegten Richtlinien könnten Vorfälle wie Namesquatting verhindern, bei denen schädliche Pakete von Entwicklern heruntergeladen werden könnten, die den falschen Dateinamen oder die falsche URL eingegeben haben.

„Möglicherweise starten Sie versehentlich eine bösartige Version des Pakets, oder es liegt ein Szenario vor, in dem jemand unter der Identität des Betreuers bösartigen Code hochgeladen hat, der jedoch nur auf eine Maschinenkompromittierung zurückzuführen ist“, sagt Arasaratnam.

Schädliche Pakete sind schwerer zu erkennen

Die Sicherheit von Paketen in Repositories dominierte eine Podiumsdiskussion zum Thema Open-Source-Sicherheit beim Open Source in Finance Forum, das im November letzten Jahres in New York stattfand.

„Es ist wie in den alten Tagen der Browser, als sie von Natur aus anfällig waren. Die Leute gingen auf eine bösartige Website, ließen sich eine Hintertür öffnen und sagten dann: „Boah, das ist nicht die Website“, sagte Brian Fox, Mitbegründer und Chief Technology Officer von Sonatype, während der Podiumsdiskussion.

„Wir verfolgen weit über 250,000 Komponenten, die absichtlich bösartig waren“, sagte Fox.

IT-Abteilungen befassen sich mit dem Schadcode und Paketen, die als Open-Source-Code getarnt sind, sagte Ann Barron-DiCamillo, Geschäftsführerin und globale Leiterin für Cyber-Operationen bei Citi, vor einigen Monaten auf der OSFF-Konferenz.

„Was die Schadpakete betrifft, so haben wir im letzten Jahr einen Anstieg um das Doppelte im Vergleich zu den Vorjahren festgestellt. Dies wird in unserer Entwicklungsgemeinschaft zur Realität“, sagte Barron-DiCamillo.

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
• PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
• PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
• PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
• Quelle: https://www.darkreading.com/application-security/untitled