Open-source repositories are critical to running and writing modern applications, but beware – carelessness could detonate mines and inject backdoors and vulnerabilities in software infrastructures. IT departments and project maintainers need to assess a project’s security capabilities to ensure malicious code is not being incorporated into the application.
A new security framework from the Cybersecurity and Infrastructure Security Agency (CISA) and Open Source Security Foundation (OpenSSF) recommends controls such as enabling multi-factor authentication for project maintainers, third-party security reporting capabilities, and warnings for outdated or insecure packages to help reduce exposure to malicious code and packages masquerading as open-source code on public repositories.
“The open-source community gathers around these watering holes in order to fetch these packages, they have to be — from an infrastructure perspective — secure,” says Omkhar Arasaratnam, general manager of OpenSSF.
Kust võib leida halba koodi
Those watering holes include Github, which hosts entire programs, programming tools, or APIs that connect software to online services. Other repositories include PyPI, which hosts Python packages; NPM, which is a JavaScript repository; and Maven Central, which is a Java repository. Code written in Python, Rust and other programming languages download libraries from multiple package repositories.
Arendajaid võidakse kogemata meelitada sisse tõmbama pahatahtlikku tarkvara, mida võidakse süstida paketihalduritesse, mis võib anda häkkeritele juurdepääsu süsteemidele. Sellistes keeltes nagu Python ja Rust kirjutatud programmid võivad sisaldada pahatahtlikku tarkvara, kui arendajad lingivad valele URL-ile.
The guidelines in the “Principles for Package Repository Security” build on security efforts already adopted by repositories. The Python Software Foundation last year vastu võetud Sigstore, mis tagab selle PyPI-s ja muudes hoidlates sisalduvate pakettide terviklikkuse ja päritolu.
Arasaratnam ütleb, et hoidlate turvalisus ei ole kohutavalt halb, kuid see on ebajärjekindel.
"Esimene osa on koguda kogukonnas mõned populaarsemad ja olulisemad ning hakata looma juhtelementide komplekti, mida saaks nendes universaalselt kasutada," ütleb Arasaratnam.
The guidelines laid out in CISA’s Principles for Package Repository Security could prevent incidents such as namesquatting, where malicious packages could be downloaded by developers mistyping the wrong file name or URL.
"Võite kogemata käivitada paketi pahatahtliku versiooni või see võib olla stsenaarium, kus keegi on üles laadinud koodi, mis on hooldaja identiteedi all pahatahtlik, kuid ainult masina ohu tõttu," ütleb Arasaratnam.
Pahatahtlikke pakette on raskem ära tunda
The security of packages on repositories dominated a panel session of open-source security at the Open Source in Finance Forum held in November last year in New York.
“It is like the old days of browsers when they were inherently vulnerable. People would go to a malicious website, get a backdoor dropped, and then go ‘whoa, this isn’t the site,” said Brian Fox, co-founder and chief technology officer at Sonatype, during the panel discussion.
“We’re tracking well over 250,000 components that were intentionally malicious,” Fox said.
IT departments are coming to grips with the malicious code and packages masquerading as open-source code, said Ann Barron-DiCamillo, managing director and global head of cyber operations at Citi, at the OSFF conference a few months ago.
“Talking about malicious packages over the last year, we have seen a twofold increase over previous years. This is becoming a reality associated with our development community,” Barron-DiCamillo said.
- SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
- PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
- PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
- PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
- PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
- Allikas: https://www.darkreading.com/application-security/untitled
- :on
- :on
- :mitte
- : kus
- $ UP
- 000
- 250
- 7
- a
- MEIST
- juurdepääs
- kogemata
- üle
- vastu
- agentuur
- tagasi
- juba
- an
- ja
- infrastruktuuri
- ann
- API-liidesed
- taotlus
- rakendused
- OLEME
- ümber
- AS
- hinnata
- seotud
- At
- Autentimine
- tagauks
- Tagauksed
- Halb
- BE
- saada
- on
- Hoiduge
- Brian
- brauserid
- ehitama
- kuid
- by
- CAN
- võimeid
- kesk-
- juht
- Chief Technology Officer
- Citi
- Asutaja
- kood
- tulevad
- kogukond
- komponendid
- kompromiss
- Konverents
- Võta meiega ühendust
- sisaldub
- kontrolli
- võiks
- kriitiline
- cyber
- Küberturvalisus
- Päeva
- osakonnad
- Arendajad
- & Tarkvaraarendus
- Juhataja
- arutelu
- domineerivad
- lae alla
- langes
- kaks
- ajal
- jõupingutusi
- võimaldades
- tagama
- tagab
- Kogu
- looma
- Säritus
- vähe
- fail
- rahastama
- esimene
- eest
- foorumid
- avastatud
- Sihtasutus
- rebane
- Raamistik
- Alates
- koguma
- Üldine
- saama
- GitHub
- Andma
- Globaalne
- Go
- Käepidemed
- suunised
- häkkerid
- raskem
- Olema
- juhataja
- Held
- aitama
- Augud
- hosts
- Kuidas
- Kuidas
- HTTPS
- Identity
- if
- in
- sisaldama
- Inkorporeeritud
- Suurendama
- Infrastruktuur
- infrastruktuur
- olemuselt
- süstima
- ebakindel
- terviklikkuse
- tahtlikult
- sisse
- pole
- IT
- ITS
- Java
- JavaScript
- jpg
- inetu
- Keeled
- viimane
- Eelmisel aastal
- raamatukogud
- nagu
- LINK
- masin
- pahatahtlik
- juht
- Juhid
- juhtiv
- Müügijuht
- Maven
- mai..
- miinid
- Kaasaegne
- kuu
- rohkem
- mitmekordne
- nimi
- Vajadus
- Uus
- New York
- November
- of
- Ohvitser
- Vana
- on
- ones
- Internetis
- ainult
- avatud
- avatud lähtekoodiga
- avatud lähtekoodiga
- Operations
- or
- et
- Muu
- meie
- välja
- vananenud
- üle
- pakend
- pakette
- paneel
- paneeldiskussioon
- osa
- Inimesed
- perspektiiv
- Platon
- Platoni andmete intelligentsus
- PlatoData
- populaarne
- vältida
- eelmine
- põhimõtted
- Programming
- programmeerimiskeeled
- Programmid
- projekt
- päritolu
- avalik
- tõmmates
- Python
- RE
- Reaalsus
- tunnistama
- soovitab
- vähendama
- Aruandlus
- Hoidla
- jooksmine
- Rust
- s
- Ütlesin
- ütleb
- stsenaarium
- kindlustama
- turvalisus
- nähtud
- Teenused
- istung
- komplekt
- märkimisväärne
- site
- tarkvara
- mõned
- allikas
- algus
- selline
- süsteemid
- Tehnoloogia
- et
- .
- Neile
- SIIS
- Need
- nad
- kolmanda osapoole
- see
- et
- töövahendid
- Jälgimine
- petatud
- all
- universaalselt
- laetud
- URL
- Kasutatud
- versioon
- Haavatavused
- Haavatav
- we
- veebisait
- Hästi
- olid
- millal
- mis
- koos
- jooksul
- oleks
- kirjutamine
- kirjalik
- Vale
- aasta
- aastat
- york
- sa
- sephyrnet
