Kuidas tagada, et avatud lähtekoodiga paketid poleks minu omad

Kuidas tagada, et avatud lähtekoodiga paketid poleks minu omad

Ajatempel: 7. märts 2024 kell 10
Kuidas tagada, et avatud lähtekoodiga paketid ei oleks PlatoBlockchaini andmeanalüüsi kaevandused. Vertikaalne otsing. Ai.

Avatud lähtekoodiga hoidlad on kaasaegsete rakenduste käitamiseks ja kirjutamiseks üliolulised, kuid olge ettevaatlik – ettevaatamatus võib plahvatada miine ning tekitada tagauksi ja turvaauke tarkvara infrastruktuuridesse. IT-osakonnad ja projektihaldurid peavad hindama projekti turbevõimalusi tagamaks, et rakendusse ei lisata pahatahtlikku koodi.

Küberturvalisuse ja infrastruktuuri turbeagentuuri (CISA) ja avatud lähtekoodiga turbefondi (OpenSSF) uus turberaamistik soovitab selliseid juhtelemente nagu mitmefaktorilise autentimise lubamine projekti hooldajatele, kolmanda osapoole turvaaruandluse võimalused ja hoiatused aegunud või ebaturvaliste pakettide puhul. aitab vähendada kokkupuudet pahatahtliku koodi ja avatud lähtekoodina maskeeritud pakettidega avalikes hoidlates.

"Avatud lähtekoodiga kogukond koguneb nende kastmisaukude ümber, et neid pakette tuua. Need peavad infrastruktuuri vaatenurgast olema turvalised," ütleb OpenSSF-i peadirektor Omkhar Arasaratnam.

Kust võib leida halba koodi

Nende aukude hulka kuulub Github, mis majutab terveid programme, programmeerimistööriistu või API-sid, mis ühendavad tarkvara võrguteenustega. Muude hoidlate hulka kuuluvad PyPI, mis majutab Pythoni pakette; NPM, mis on JavaScripti hoidla; ja Maven Central, mis on Java hoidla. Pythonis, Rustis ja teistes programmeerimiskeeltes kirjutatud kood laadib teegid alla mitmest paketihoidlast.

Arendajaid võidakse kogemata meelitada sisse tõmbama pahatahtlikku tarkvara, mida võidakse süstida paketihalduritesse, mis võib anda häkkeritele juurdepääsu süsteemidele. Sellistes keeltes nagu Python ja Rust kirjutatud programmid võivad sisaldada pahatahtlikku tarkvara, kui arendajad lingivad valele URL-ile.

"Paketite hoidlate turvalisuse põhimõtete" juhised põhinevad hoidlates juba vastu võetud turvameetmetel. Pythoni tarkvara sihtasutus eelmisel aastal vastu võetud Sigstore, mis tagab selle PyPI-s ja muudes hoidlates sisalduvate pakettide terviklikkuse ja päritolu.

Arasaratnam ütleb, et hoidlate turvalisus ei ole kohutavalt halb, kuid see on ebajärjekindel.

"Esimene osa on koguda kogukonnas mõned populaarsemad ja olulisemad ning hakata looma juhtelementide komplekti, mida saaks nendes universaalselt kasutada," ütleb Arasaratnam.

CISA pakettide hoidla turvalisuse põhimõtetes sätestatud juhised võivad ära hoida selliseid intsidente nagu nimede otsimine, kus arendajad võivad pahatahtlikud paketid alla laadida, kirjutades valesti vale failinime või URL-i.

"Võite kogemata käivitada paketi pahatahtliku versiooni või see võib olla stsenaarium, kus keegi on üles laadinud koodi, mis on hooldaja identiteedi all pahatahtlik, kuid ainult masina ohu tõttu," ütleb Arasaratnam.

Pahatahtlikke pakette on raskem ära tunda

Eelmise aasta novembris New Yorgis toimunud avatud lähtekoodiga rahandusfoorumil avatud lähtekoodiga turvalisuse paneelis domineeris hoidlates olevate pakettide turvalisus.

"See on nagu brauserite vanasti, kui nad olid oma olemuselt haavatavad. Inimesed läksid pahatahtlikule veebisaidile, kaotasid tagaukse ja ütlesid siis: "Oh, see pole see sait," ütles Sonatype'i kaasasutaja ja tehnoloogiajuht Brian Fox paneeldiskussiooni ajal.

"Jälgime üle 250,000 XNUMX komponendi, mis olid tahtlikult pahatahtlikud," ütles Fox.

IT-osakonnad hakkavad tegelema pahatahtliku koodi ja avatud lähtekoodiks maskeeritud pakettidega, ütles Citi tegevdirektor ja globaalne küberoperatsioonide juht Ann Barron-DiCamillo OSFF-i konverentsil paar kuud tagasi.

“Kui rääkida pahatahtlikest pakettidest viimase aasta jooksul, siis oleme näinud kahekordset kasvu võrreldes eelmiste aastatega. See on muutumas meie arenduskogukonnaga seotud reaalsuseks, ”ütles Barron-DiCamillo.

Ajatempel:

Veel alates Tume lugemine