Τα αποθετήρια ανοιχτού κώδικα είναι κρίσιμα για την εκτέλεση και τη σύνταξη σύγχρονων εφαρμογών, αλλά προσέξτε – η απροσεξία μπορεί να πυροδοτήσει νάρκες και να δημιουργήσει κερκόπορτες και τρωτά σημεία στις υποδομές λογισμικού. Τα τμήματα πληροφορικής και οι συντηρητές έργων πρέπει να αξιολογήσουν τις δυνατότητες ασφάλειας ενός έργου για να διασφαλίσουν ότι ο κακόβουλος κώδικας δεν ενσωματώνεται στην εφαρμογή.
Ένα νέο πλαίσιο ασφαλείας από την Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομής (CISA) και το Ίδρυμα Ανοικτού Κώδικα Ασφάλειας (OpenSSF) συνιστά ελέγχους όπως ενεργοποίηση ελέγχου ταυτότητας πολλαπλών παραγόντων για τους συντηρητές έργων, δυνατότητες αναφοράς ασφάλειας τρίτων και προειδοποιήσεις για παλιά ή ανασφαλή πακέτα για συμβάλλουν στη μείωση της έκθεσης σε κακόβουλο κώδικα και πακέτα που μεταμφιέζονται σε κώδικα ανοιχτού κώδικα σε δημόσια αποθετήρια.
«Η κοινότητα ανοιχτού κώδικα συγκεντρώνεται γύρω από αυτές τις τρύπες ποτίσματος για να φέρει αυτά τα πακέτα, πρέπει να είναι —από την άποψη της υποδομής— ασφαλή», λέει ο Omkhar Arasaratnam, γενικός διευθυντής του OpenSSF.
Πού μπορεί να βρεθεί κακός κώδικας
Αυτές οι τρύπες ποτίσματος περιλαμβάνουν το Github, το οποίο φιλοξενεί ολόκληρα προγράμματα, εργαλεία προγραμματισμού ή API που συνδέουν λογισμικό με διαδικτυακές υπηρεσίες. Άλλα αποθετήρια περιλαμβάνουν το PyPI, το οποίο φιλοξενεί πακέτα Python. NPM, το οποίο είναι ένα αποθετήριο JavaScript. και το Maven Central, το οποίο είναι αποθετήριο Java. Κώδικας γραμμένος σε Python, Rust και άλλες γλώσσες προγραμματισμού κατεβάζει βιβλιοθήκες από πολλά αποθετήρια πακέτων.
Οι προγραμματιστές θα μπορούσαν άθελά τους να εξαπατηθούν για να τραβήξουν κακόβουλο λογισμικό που θα μπορούσε να εισαχθεί στους διαχειριστές πακέτων, το οποίο θα μπορούσε να δώσει στους χάκερ πρόσβαση στα συστήματα. Προγράμματα γραμμένα σε γλώσσες όπως η Python και η Rust θα μπορούσαν να περιλαμβάνουν κακόβουλο λογισμικό εάν οι προγραμματιστές συνδεθούν με λάθος URL.
Οι κατευθυντήριες γραμμές στις «Αρχές για την ασφάλεια του αποθετηρίου πακέτων» βασίζονται στις προσπάθειες ασφάλειας που έχουν ήδη υιοθετηθεί από τα αποθετήρια. Το Python Software Foundation πέρυσι υιοθέτησε το Sigstore, το οποίο διασφαλίζει την ακεραιότητα και την προέλευση των πακέτων που περιέχονται στο PyPI και σε άλλα αποθετήρια.
Η ασφάλεια στα αποθετήρια δεν είναι πολύ κακή, αλλά είναι ασυνεπής, λέει ο Arasaratnam.
«Το πρώτο μέρος είναι να συγκεντρώσουμε μερικά από τα πιο δημοφιλή… και σημαντικά μέσα στην κοινότητα και να αρχίσουμε να δημιουργούμε ένα σύνολο από ένα σύνολο ελέγχων που θα μπορούσαν να χρησιμοποιηθούν καθολικά σε αυτά», λέει ο Arasaratnam.
Οι οδηγίες που ορίζονται στις Αρχές της CISA για την ασφάλεια του αποθετηρίου πακέτων θα μπορούσαν να αποτρέψουν περιστατικά όπως το namesquatting, όπου τα κακόβουλα πακέτα θα μπορούσαν να ληφθούν από προγραμματιστές που πληκτρολογούν λάθος όνομα αρχείου ή διεύθυνση URL.
"Μπορεί να εκκινήσετε κατά λάθος μια κακόβουλη έκδοση του πακέτου ή θα μπορούσε να είναι ένα σενάριο όπου κάποιος έχει ανεβάσει κακόβουλο κώδικα με την ταυτότητα του συντηρητή, αλλά μόνο λόγω παραβίασης του μηχανήματος", λέει ο Arasaratnam.
Πιο δύσκολο να αναγνωρίσεις κακόβουλα πακέτα
Η ασφάλεια των πακέτων στα αποθετήρια κυριάρχησε σε μια συνάντηση πάνελ για την ασφάλεια ανοιχτού κώδικα στο Open Source in Finance Forum που πραγματοποιήθηκε τον Νοέμβριο του περασμένου έτους στη Νέα Υόρκη.
«Είναι σαν τις παλιές εποχές των προγραμμάτων περιήγησης όταν ήταν εγγενώς ευάλωτα. Οι άνθρωποι πήγαιναν σε έναν κακόβουλο ιστότοπο, έπεφταν σε μια κερκόπορτα και μετά πήγαιναν «ουάου, δεν είναι αυτός ο ιστότοπος», δήλωσε ο Brian Fox, συνιδρυτής και επικεφαλής τεχνολογίας στη Sonatype, κατά τη διάρκεια της συζήτησης.
«Παρακολουθούμε πάνω από 250,000 στοιχεία που ήταν σκόπιμα κακόβουλα», είπε η Fox.
Τα τμήματα πληροφορικής έρχονται να αντιμετωπίσουν τον κακόβουλο κώδικα και τα πακέτα που μεταμφιέζονται σε κώδικα ανοιχτού κώδικα, δήλωσε η Ann Barron-DiCamillo, διευθύνουσα σύμβουλος και παγκόσμια επικεφαλής επιχειρήσεων στον κυβερνοχώρο της Citi, στο συνέδριο OSFF πριν από λίγους μήνες.
«Μιλώντας για κακόβουλα πακέτα τον τελευταίο χρόνο, έχουμε δει διπλή αύξηση σε σχέση με τα προηγούμενα χρόνια. Αυτό γίνεται πραγματικότητα που σχετίζεται με την αναπτυξιακή μας κοινότητα», δήλωσε ο Barron-DiCamillo.
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
- PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
- PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
- πηγή: https://www.darkreading.com/application-security/untitled
- :έχει
- :είναι
- :δεν
- :που
- $UP
- 000
- 250
- 7
- a
- Σχετικα
- πρόσβαση
- Κατά Λάθος
- απέναντι
- θετός
- πρακτορείο
- πριν
- ήδη
- an
- και
- και την υποδομή
- Άννα
- APIs
- Εφαρμογή
- εφαρμογές
- ΕΙΝΑΙ
- γύρω
- AS
- εκτιμώ
- συσχετισμένη
- At
- Πιστοποίηση
- κερκόπορτα
- Κερκόπορτες
- Κακός
- BE
- να γίνει
- είναι
- Προσέξτε
- Brian
- browsers
- χτίζω
- αλλά
- by
- CAN
- δυνατότητες
- κεντρικός
- αρχηγός
- Γενικός Διευθυντής Τεχνολογίας
- Citi
- Συνιδρυτής
- κωδικός
- ερχομός
- κοινότητα
- εξαρτήματα
- συμβιβασμός
- Διάσκεψη
- Connect
- που περιέχονται
- ελέγχους
- θα μπορούσε να
- κρίσιμης
- στον κυβερνοχώρο
- Κυβερνασφάλεια
- Ημ.
- τμήματα
- προγραμματιστές
- Ανάπτυξη
- Διευθυντής
- συζήτηση
- κυριαρχούσε
- κατεβάσετε
- έπεσε
- δυο
- κατά την διάρκεια
- προσπάθειες
- ενεργοποίηση
- εξασφαλίζω
- εξασφαλίζει
- Ολόκληρος
- εγκαθιδρύω
- Έκθεση
- λίγοι
- Αρχεία
- χρηματοδότηση
- Όνομα
- Για
- Φόρουμ
- Βρέθηκαν
- Θεμέλιο
- αλεπού
- Πλαίσιο
- από
- συγκεντρώνουν
- General
- παίρνω
- GitHub
- Δώστε
- Παγκόσμιο
- Go
- λαβές
- κατευθυντήριων γραμμών
- χάκερ
- σκληρότερα
- Έχω
- κεφάλι
- Ήρωας
- βοήθεια
- Τρύπες
- οικοδεσπότες
- Πως
- Πώς να
- HTTPS
- Ταυτότητα
- if
- in
- περιλαμβάνουν
- Συσσωματωμένος
- Αυξάνουν
- Υποδομή
- υποδομή
- εκ φύσεως
- κάνω ένεση
- ανασφαλής
- ακεραιότητα
- εκ προθέσεως
- σε
- isn
- IT
- ΤΟΥ
- Java
- το JavaScript
- jpg
- στρωτός
- Γλώσσες
- Επίθετο
- Πέρυσι
- βιβλιοθήκες
- Μου αρέσει
- LINK
- μηχανή
- κακόβουλο
- διευθυντής
- Διευθυντές
- διαχείριση
- Διευθύνων Σύμβουλος
- Maven
- Ενδέχεται..
- ορυχεία
- ΜΟΝΤΕΡΝΑ
- μήνες
- περισσότερο
- πολλαπλούς
- όνομα
- Ανάγκη
- Νέα
- Νέα Υόρκη
- Νοέμβριος
- of
- Αξιωματικός
- Παλιά
- on
- αυτά
- διαδικτυακά (online)
- αποκλειστικά
- ανοίξτε
- ανοικτού κώδικα
- κώδικα ανοιχτού κώδικα
- λειτουργίες
- or
- τάξη
- ΑΛΛΑ
- δικός μας
- έξω
- απαρχαιωμένος
- επί
- πακέτο
- Packages
- πίνακας
- Συζήτηση
- μέρος
- People
- προοπτική
- Πλάτων
- Πληροφορία δεδομένων Plato
- Πλάτωνα δεδομένα
- Δημοφιλής
- πρόληψη
- προηγούμενος
- αρχές
- Προγραμματισμός
- γλώσσες προγραμματισμού
- Προγράμματα
- σχέδιο
- προέλευση
- δημόσιο
- τραβώντας
- Python
- RE
- Πραγματικότητα
- αναγνωρίζω
- συνιστά
- μείωση
- Αναφορά
- Αποθήκη
- τρέξιμο
- Σκωρία
- s
- Είπε
- λέει
- σενάριο
- προστατευμένο περιβάλλον
- ασφάλεια
- δει
- Υπηρεσίες
- Συνεδρίαση
- σειρά
- σημαντικός
- ιστοσελίδα
- λογισμικό
- μερικοί
- Πηγή
- Εκκίνηση
- τέτοιος
- συστήματα
- Τεχνολογία
- ότι
- Η
- Τους
- τότε
- Αυτοί
- αυτοί
- τρίτους
- αυτό
- προς την
- εργαλεία
- Παρακολούθηση
- εξαπατημένοι
- υπό
- παγκοσμίως
- Φορτώθηκε
- URL
- μεταχειρισμένος
- εκδοχή
- Θέματα ευπάθειας
- Ευάλωτες
- we
- Ιστοσελίδα : www.example.gr
- ΛΟΙΠΌΝ
- ήταν
- πότε
- Ποιό
- με
- εντός
- θα
- γραφή
- γραπτή
- Λανθασμένος
- έτος
- χρόνια
- Υόρκη
- Εσείς
- zephyrnet