چگونه می توان اطمینان حاصل کرد که بسته های منبع باز معدن نیستند

مخازن منبع باز برای اجرا و نوشتن برنامه های کاربردی مدرن بسیار مهم هستند، اما مراقب باشید - بی دقتی می تواند مین ها را منفجر کند و درهای پشتی و آسیب پذیری ها را در زیرساخت های نرم افزاری ایجاد کند. بخش‌های فناوری اطلاعات و نگهبانان پروژه باید قابلیت‌های امنیتی پروژه را ارزیابی کنند تا مطمئن شوند کد مخرب در برنامه گنجانده نشده است.

یک چارچوب امنیتی جدید از آژانس امنیت سایبری و امنیت زیرساخت (CISA) و بنیاد امنیت منبع باز (OpenSSF) کنترل‌هایی مانند فعال کردن احراز هویت چند عاملی برای نگهبانان پروژه، قابلیت‌های گزارش‌دهی امنیتی شخص ثالث، و هشدار برای بسته‌های قدیمی یا ناامن را توصیه می‌کند. کمک به کاهش قرار گرفتن در معرض کدهای مخرب و بسته هایی که به عنوان کد منبع باز در مخازن عمومی مخفی می شوند.

اومخار آراساراتنام، مدیر کل OpenSSF می‌گوید: «جامعه منبع باز در اطراف این چاله‌ها جمع می‌شوند تا این بسته‌ها را دریافت کنند، آنها باید - از دیدگاه زیرساخت - ایمن باشند.

جایی که کد بد را می توان یافت

این حفره‌های آبی شامل Github است که میزبان برنامه‌ها، ابزارهای برنامه‌نویسی یا APIهایی است که نرم‌افزار را به خدمات آنلاین متصل می‌کند. مخازن دیگر عبارتند از PyPI که میزبان بسته های پایتون است. NPM، که یک مخزن جاوا اسکریپت است. و Maven Central که یک مخزن جاوا است. کدهای نوشته شده در پایتون، Rust و سایر زبان های برنامه نویسی، کتابخانه ها را از مخازن بسته های متعدد دانلود می کنند.

توسعه‌دهندگان ممکن است ناخواسته فریب بخورند و نرم‌افزارهای مخربی را که می‌تواند به مدیران بسته تزریق شود، وارد کنند که می‌تواند به هکرها امکان دسترسی به سیستم‌ها را بدهد. برنامه‌هایی که به زبان‌هایی مانند Python و Rust نوشته شده‌اند، در صورتی که توسعه‌دهندگان به URL اشتباهی پیوند دهند، می‌توانند شامل نرم‌افزارهای مخرب باشند.

دستورالعمل‌های موجود در «اصول امنیت مخزن بسته‌ها» بر اساس تلاش‌های امنیتی است که قبلاً توسط مخازن اتخاذ شده است. بنیاد نرم افزار پایتون در سال گذشته Sigstore را پذیرفت، که یکپارچگی و منشأ بسته هایی را که در PyPI و دیگر مخازن آن موجود است را تضمین می کند.

آراساراتنام می‌گوید امنیت موجود در مخازن بسیار بد نیست، اما ناسازگار است.

آراساراتنام می‌گوید: «بخش اول جمع‌آوری تعدادی از محبوب‌تر و مهم‌تر در جامعه و شروع به ایجاد مجموعه‌ای از کنترل‌هایی است که می‌تواند به طور جهانی در آنها استفاده شود.

دستورالعمل‌هایی که در اصول CISA برای امنیت مخزن بسته‌ها آمده است می‌تواند از حوادثی مانند نام‌ها جلوگیری کند، جایی که بسته‌های مخرب می‌توانند توسط توسعه‌دهندگانی که نام فایل یا URL اشتباه را تایپ می‌کنند دانلود کنند.

آراساراتنام می‌گوید: «ممکن است به‌طور تصادفی یک نسخه مخرب بسته را راه‌اندازی کنید، یا ممکن است سناریویی باشد که در آن شخصی کدی را آپلود کرده است که تحت هویت نگهدارنده مخرب است، اما فقط به دلیل سازش دستگاه».

تشخیص بسته های مخرب دشوارتر است

امنیت بسته‌های موجود در مخازن بر جلسه پانل امنیت منبع باز در انجمن منبع باز در امور مالی که در نوامبر سال گذشته در نیویورک برگزار شد، غالب شد.

این مانند روزهای قدیم مرورگرها است که ذاتاً آسیب پذیر بودند. برایان فاکس، یکی از بنیانگذاران و مدیر ارشد فناوری Sonatype، در طول بحث میزگرد گفت: مردم به یک وب سایت مخرب می روند، یک درب پشتی حذف می شود، و سپس می گویند "وای، این سایت نیست."

فاکس گفت: «ما بیش از 250,000 مؤلفه که عمداً مخرب بودند را ردیابی می‌کنیم.

آن بارون-دیکامیلو، مدیر عامل و رئیس جهانی عملیات سایبری در سیتی، چند ماه پیش در کنفرانس OSFF گفت که دپارتمان‌های فناوری اطلاعات با کدها و بسته‌های مخربی که به عنوان کد منبع باز ظاهر می‌شوند دست به گریبان هستند.

وی گفت: «در مورد بسته‌های مخرب در سال گذشته، ما شاهد افزایش دو برابری نسبت به سال‌های گذشته بوده‌ایم. بارون-دی کامیلو گفت: این در حال تبدیل شدن به یک واقعیت مرتبط با جامعه توسعه ما است.

• محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
• PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
• PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
• PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
• PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
• منبع: https://www.darkreading.com/application-security/untitled