مخازن منبع باز برای اجرا و نوشتن برنامه های کاربردی مدرن بسیار مهم هستند، اما مراقب باشید - بی دقتی می تواند مین ها را منفجر کند و درهای پشتی و آسیب پذیری ها را در زیرساخت های نرم افزاری ایجاد کند. بخشهای فناوری اطلاعات و نگهبانان پروژه باید قابلیتهای امنیتی پروژه را ارزیابی کنند تا مطمئن شوند کد مخرب در برنامه گنجانده نشده است.
یک چارچوب امنیتی جدید از آژانس امنیت سایبری و امنیت زیرساخت (CISA) و بنیاد امنیت منبع باز (OpenSSF) کنترلهایی مانند فعال کردن احراز هویت چند عاملی برای نگهبانان پروژه، قابلیتهای گزارشدهی امنیتی شخص ثالث، و هشدار برای بستههای قدیمی یا ناامن را توصیه میکند. کمک به کاهش قرار گرفتن در معرض کدهای مخرب و بسته هایی که به عنوان کد منبع باز در مخازن عمومی مخفی می شوند.
اومخار آراساراتنام، مدیر کل OpenSSF میگوید: «جامعه منبع باز در اطراف این چالهها جمع میشوند تا این بستهها را دریافت کنند، آنها باید - از دیدگاه زیرساخت - ایمن باشند.
جایی که کد بد را می توان یافت
این حفرههای آبی شامل Github است که میزبان برنامهها، ابزارهای برنامهنویسی یا APIهایی است که نرمافزار را به خدمات آنلاین متصل میکند. مخازن دیگر عبارتند از PyPI که میزبان بسته های پایتون است. NPM، که یک مخزن جاوا اسکریپت است. و Maven Central که یک مخزن جاوا است. کدهای نوشته شده در پایتون، Rust و سایر زبان های برنامه نویسی، کتابخانه ها را از مخازن بسته های متعدد دانلود می کنند.
توسعهدهندگان ممکن است ناخواسته فریب بخورند و نرمافزارهای مخربی را که میتواند به مدیران بسته تزریق شود، وارد کنند که میتواند به هکرها امکان دسترسی به سیستمها را بدهد. برنامههایی که به زبانهایی مانند Python و Rust نوشته شدهاند، در صورتی که توسعهدهندگان به URL اشتباهی پیوند دهند، میتوانند شامل نرمافزارهای مخرب باشند.
دستورالعملهای موجود در «اصول امنیت مخزن بستهها» بر اساس تلاشهای امنیتی است که قبلاً توسط مخازن اتخاذ شده است. بنیاد نرم افزار پایتون در سال گذشته Sigstore را پذیرفت، که یکپارچگی و منشأ بسته هایی را که در PyPI و دیگر مخازن آن موجود است را تضمین می کند.
آراساراتنام میگوید امنیت موجود در مخازن بسیار بد نیست، اما ناسازگار است.
آراساراتنام میگوید: «بخش اول جمعآوری تعدادی از محبوبتر و مهمتر در جامعه و شروع به ایجاد مجموعهای از کنترلهایی است که میتواند به طور جهانی در آنها استفاده شود.
دستورالعملهایی که در اصول CISA برای امنیت مخزن بستهها آمده است میتواند از حوادثی مانند نامها جلوگیری کند، جایی که بستههای مخرب میتوانند توسط توسعهدهندگانی که نام فایل یا URL اشتباه را تایپ میکنند دانلود کنند.
آراساراتنام میگوید: «ممکن است بهطور تصادفی یک نسخه مخرب بسته را راهاندازی کنید، یا ممکن است سناریویی باشد که در آن شخصی کدی را آپلود کرده است که تحت هویت نگهدارنده مخرب است، اما فقط به دلیل سازش دستگاه».
تشخیص بسته های مخرب دشوارتر است
امنیت بستههای موجود در مخازن بر جلسه پانل امنیت منبع باز در انجمن منبع باز در امور مالی که در نوامبر سال گذشته در نیویورک برگزار شد، غالب شد.
این مانند روزهای قدیم مرورگرها است که ذاتاً آسیب پذیر بودند. برایان فاکس، یکی از بنیانگذاران و مدیر ارشد فناوری Sonatype، در طول بحث میزگرد گفت: مردم به یک وب سایت مخرب می روند، یک درب پشتی حذف می شود، و سپس می گویند "وای، این سایت نیست."
فاکس گفت: «ما بیش از 250,000 مؤلفه که عمداً مخرب بودند را ردیابی میکنیم.
آن بارون-دیکامیلو، مدیر عامل و رئیس جهانی عملیات سایبری در سیتی، چند ماه پیش در کنفرانس OSFF گفت که دپارتمانهای فناوری اطلاعات با کدها و بستههای مخربی که به عنوان کد منبع باز ظاهر میشوند دست به گریبان هستند.
وی گفت: «در مورد بستههای مخرب در سال گذشته، ما شاهد افزایش دو برابری نسبت به سالهای گذشته بودهایم. بارون-دی کامیلو گفت: این در حال تبدیل شدن به یک واقعیت مرتبط با جامعه توسعه ما است.
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
- PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
- PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
- PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
- منبع: https://www.darkreading.com/application-security/untitled
- : دارد
- :است
- :نه
- :جایی که
- $UP
- 000
- 250
- 7
- a
- درباره ما
- دسترسی
- به طور تصادفی
- در میان
- به تصویب رسید
- نمایندگی
- پیش
- قبلا
- an
- و
- و زیرساخت
- ان
- رابط های برنامه کاربردی
- کاربرد
- برنامه های کاربردی
- هستند
- دور و بر
- AS
- ارزیابی کنید
- مرتبط است
- At
- تصدیق
- درپشتی
- پشتيباني
- بد
- BE
- تبدیل شدن به
- بودن
- برحذر بودن
- برایان
- مرورگرهای
- ساختن
- اما
- by
- CAN
- قابلیت های
- مرکزی
- رئیس
- مدیر ارشد فناوری
- سیتی
- بنیانگذاران
- رمز
- آینده
- انجمن
- اجزاء
- سازش
- کنفرانس
- اتصال
- موجود
- گروه شاهد
- میتوانست
- بحرانی
- سایبر
- امنیت سایبری
- روز
- گروه ها
- توسعه دهندگان
- پروژه
- مدیر
- گفتگو
- تحت سلطه
- دانلود
- کاهش یافته است
- دو
- در طی
- تلاش
- را قادر می سازد
- اطمینان حاصل شود
- تضمین می کند
- تمام
- ایجاد
- ارائه
- کمی از
- پرونده
- سرمایه گذاری
- نام خانوادگی
- برای
- انجمن
- یافت
- پایه
- روباه
- چارچوب
- از جانب
- جمع آوری
- سوالات عمومی
- دریافت کنید
- GitHub
- دادن
- جهانی
- Go
- چنگ زدن
- دستورالعمل ها
- هکرها
- سخت تر
- آیا
- سر
- برگزار شد
- کمک
- سوراخ
- میزبان
- چگونه
- چگونه
- HTTPS
- هویت
- if
- in
- شامل
- ادغام شده
- افزایش
- شالوده
- شالوده
- ذاتا
- تزریق کنید
- ناامن
- تمامیت
- از قصد
- به
- نیست
- IT
- ITS
- جاوه
- جاوا اسکریپت
- JPG
- گذاشته
- زبان ها
- نام
- پارسال
- کتابخانه ها
- پسندیدن
- ارتباط دادن
- دستگاه
- مخرب
- مدیر
- مدیران
- مدیریت
- مدیر عامل
- MAVEN
- ممکن است..
- معادن
- مدرن
- ماه
- بیش
- چندگانه
- نام
- نیاز
- جدید
- نیویورک
- نوامبر
- of
- افسر
- قدیمی
- on
- آنهایی که
- آنلاین
- فقط
- باز کن
- منبع باز
- کد منبع باز
- عملیات
- or
- سفارش
- دیگر
- ما
- خارج
- قدیمی
- روی
- بسته
- بسته
- تابلو
- میزگرد
- بخش
- مردم
- چشم انداز
- افلاطون
- هوش داده افلاطون
- PlatoData
- محبوب
- جلوگیری از
- قبلی
- از اصول
- برنامه نويسي
- زبانهای برنامه نویسی
- برنامه ها
- پروژه
- منشاء
- عمومی
- کشیدن
- پــایتــون
- RE
- واقعیت
- شناختن
- توصیه می کند
- كاهش دادن
- گزارش
- مخزن
- در حال اجرا
- زنگ
- s
- سعید
- می گوید:
- سناریو
- امن
- تیم امنیت لاتاری
- مشاهده گردید
- خدمات
- جلسه
- تنظیم
- قابل توجه
- سایت
- نرم افزار
- برخی از
- منبع
- شروع
- چنین
- سیستم های
- پیشرفته
- که
- La
- آنها
- سپس
- اینها
- آنها
- شخص ثالث
- این
- به
- ابزار
- پیگردی
- فریب خورده
- زیر
- به طور کلی
- آپلود شده
- URL
- استفاده
- نسخه
- آسیب پذیری ها
- آسیب پذیر
- we
- سایت اینترنتی
- خوب
- بود
- چه زمانی
- که
- با
- در داخل
- خواهد بود
- نوشته
- کتبی
- اشتباه
- سال
- سال
- نیویورک
- شما
- زفیرنت