Kuinka varmistaa, että avoimen lähdekoodin paketit eivät ole omia

Avoimen lähdekoodin arkistot ovat kriittisiä nykyaikaisten sovellusten ajamiseen ja kirjoittamiseen, mutta varokaa – huolimattomuus voi räjäyttää miinoja ja lisätä takaovia ja haavoittuvuuksia ohjelmistoinfrastruktuureihin. IT-osastojen ja projektien ylläpitäjien on arvioitava projektin tietoturvaominaisuudet varmistaakseen, ettei haitallista koodia sisällytetä sovellukseen.

Cybersecurity and Infrastructure Security Agencyn (CISA) ja Open Source Security Foundationin (OpenSSF) uusi tietoturvakehys suosittelee valvontaa, kuten monivaiheisen todennuksen mahdollistamista projektin ylläpitäjille, kolmannen osapuolen tietoturvaraportointivalmiuksia ja varoituksia vanhentuneista tai turvattomista paketeista. auttaa vähentämään altistumista haitalliselle koodille ja avoimeksi lähdekoodiksi naamioituville paketeille julkisissa arkistoissa.

"Avoimen lähdekoodin yhteisö kokoontuu näiden juoma-aukkojen ympärille noutaakseen nämä paketit, ja niiden on oltava infrastruktuurin näkökulmasta turvallisia", OpenSSF:n pääjohtaja Omkhar Arasaratnam sanoo.

Mistä huono koodi löytyy

Näitä kastelupaikkoja ovat Github, joka isännöi kokonaisia ​​ohjelmia, ohjelmointityökaluja tai sovellusliittymiä, jotka yhdistävät ohjelmistot online-palveluihin. Muita tietovarastoja ovat PyPI, joka isännöi Python-paketteja; NPM, joka on JavaScript-arkisto; ja Maven Central, joka on Java-arkisto. Pythonilla, Rustilla ja muilla ohjelmointikielillä kirjoitettu koodi lataa kirjastoja useista pakettivarastoista.

Kehittäjiä voidaan vahingossa huijata vetämään sisään haittaohjelmia, jotka voitaisiin ruiskuttaa paketinhallintaan, mikä voisi antaa hakkereille pääsyn järjestelmiin. Python- ja Rust-kielillä kirjoitetut ohjelmat voivat sisältää haittaohjelmia, jos kehittäjät linkittävät väärään URL-osoitteeseen.

"Pakettivaraston turvallisuuden periaatteet" -oppaan ohjeet perustuvat tietovarastojen jo hyväksymiin tietoturvatoimiin. Python Software Foundation viime vuonna adoptoitu Sigstore, joka varmistaa sen PyPI- ja muihin arkistoihin sisältyvien pakettien eheyden ja alkuperän.

Tietovarastojen tietoturva ei ole järjettömän huono, mutta se on epäjohdonmukaista, Arasaratnam sanoo.

"Ensimmäinen osa on kerätä joitakin suosituimmista… ja merkittävimmistä yhteisöstä ja alkaa luoda joukko ohjausobjekteja, joita voitaisiin käyttää kaikkialla", Arasaratnam sanoo.

CISA:n Package Repository Securityn periaatteissa esitetyt ohjeet voisivat estää tapauksia, kuten nimettömyyttä, jossa kehittäjät voivat ladata haitallisia paketteja kirjoittamalla väärin tiedostonimen tai URL-osoitteen.

"Voit vahingossa käynnistää paketin haitallisen version, tai se voi olla skenaario, jossa joku on ladannut koodia, joka on haitallista ylläpitäjän identiteetin alla, mutta vain koneen vaarantumisen vuoksi", Arasaratnam sanoo.

Haitallisia paketteja on vaikea tunnistaa

Arkiston pakettien turvallisuus hallitsi avoimen lähdekoodin tietoturvan paneeliistuntoa Open Source in Finance Forumissa viime vuoden marraskuussa New Yorkissa.

"Se on kuin vanhaan selaimeen, jolloin ne olivat luonnostaan ​​haavoittuvia. Ihmiset menivät haitalliselle verkkosivustolle, saivat takaoven pois ja sitten sanoivat "voi, tämä ei ole sivusto", sanoi Brian Fox, Sonatypen perustaja ja teknologiajohtaja paneelikeskustelun aikana.

"Seuraamme yli 250,000 XNUMX komponenttia, jotka olivat tarkoituksellisesti haitallisia", Fox sanoi.

IT-osastot ovat alkaneet tarttua haitalliseen koodiin ja avoimeksi lähdekoodiksi naamioituneisiin paketteihin, sanoi Ann Barron-DiCamillo, Citin toimitusjohtaja ja globaali kybertoimintojen johtaja OSFF-konferenssissa muutama kuukausi sitten.

"Kun puhutaan haitallisista paketeista viimeisen vuoden aikana, olemme nähneet kaksinkertaisen kasvun edellisiin vuosiin verrattuna. Tästä on tulossa kehitysyhteisömme todellisuutta, Barron-DiCamillo sanoi.

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
• PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
• PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
• PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
• Lähde: https://www.darkreading.com/application-security/untitled