Comment s'assurer que les packages open source ne sont pas les miens

Les référentiels open source sont essentiels à l’exécution et à l’écriture d’applications modernes, mais attention : une négligence pourrait faire exploser des mines et injecter des portes dérobées et des vulnérabilités dans les infrastructures logicielles. Les services informatiques et les responsables de projet doivent évaluer les capacités de sécurité d'un projet pour garantir qu'aucun code malveillant n'est incorporé dans l'application.

Un nouveau cadre de sécurité de la Cybersecurity and Infrastructure Security Agency (CISA) et de l'Open Source Security Foundation (OpenSSF) recommande des contrôles tels que l'activation de l'authentification multifacteur pour les responsables du projet, des capacités de reporting de sécurité tierces et des avertissements pour les packages obsolètes ou non sécurisés. contribuer à réduire l’exposition aux codes malveillants et aux packages se faisant passer pour du code open source sur les référentiels publics.

"La communauté open source se rassemble autour de ces points d'eau afin de récupérer ces packages, ils doivent être – du point de vue de l'infrastructure – sécurisés", explique Omkhar Arasaratnam, directeur général d'OpenSSF.

Où peut-on trouver du mauvais code

Ces points d'eau incluent Github, qui héberge des programmes entiers, des outils de programmation ou des API qui connectent les logiciels aux services en ligne. D'autres référentiels incluent PyPI, qui héberge les packages Python ; NPM, qui est un référentiel JavaScript ; et Maven Central, qui est un référentiel Java. Le code écrit en Python, Rust et d'autres langages de programmation télécharge des bibliothèques à partir de plusieurs référentiels de packages.

Les développeurs pourraient involontairement être amenés à intégrer des logiciels malveillants qui pourraient être injectés dans les gestionnaires de packages, ce qui pourrait permettre aux pirates d'accéder aux systèmes. Les programmes écrits dans des langages comme Python et Rust peuvent inclure des logiciels malveillants si les développeurs se connectent à la mauvaise URL.

Les lignes directrices des « Principes de sécurité des référentiels de packages » s'appuient sur les efforts de sécurité déjà adoptés par les référentiels. La Python Software Foundation l'année dernière adopté Sigstore, qui garantit l'intégrité et la provenance des packages contenus dans son PyPI et d'autres référentiels.

La sécurité dans les référentiels n'est pas terriblement mauvaise, mais elle est incohérente, dit Arasaratnam.

«La première partie consiste à rassembler certains des plus populaires… et des plus importants au sein de la communauté et à commencer à établir un ensemble de contrôles qui pourraient être utilisés universellement dans tous», explique Arasaratnam.

Les directives énoncées dans les principes de sécurité du référentiel de packages de la CISA pourraient empêcher des incidents tels que le squattage de noms, dans lesquels des packages malveillants pourraient être téléchargés par des développeurs en tapant mal le mauvais nom de fichier ou l'URL.

"Vous pouvez accidentellement démarrer une version malveillante du package, ou il peut s'agir d'un scénario dans lequel quelqu'un a téléchargé du code malveillant sous l'identité du responsable, mais uniquement en raison d'une compromission de la machine", explique Arasaratnam.

Plus difficile de reconnaître les paquets malveillants

La sécurité des packages sur les référentiels a dominé une table ronde sur la sécurité open source lors du Forum Open Source in Finance qui s'est tenu en novembre de l'année dernière à New York.

« C’est comme au bon vieux temps des navigateurs, où ils étaient intrinsèquement vulnérables. Les gens se rendaient sur un site Web malveillant, se voyaient supprimer une porte dérobée, puis disaient « whoa, ce n'est pas le site », a déclaré Brian Fox, co-fondateur et directeur de la technologie chez Sonatype, lors de la table ronde.

"Nous suivons plus de 250,000 XNUMX composants intentionnellement malveillants", a déclaré Fox.

Les services informatiques sont confrontés aux codes malveillants et aux packages se faisant passer pour du code open source, a déclaré Ann Barron-DiCamillo, directrice générale et responsable mondiale des cyber-opérations chez Citi, lors de la conférence OSFF il y a quelques mois.

« En ce qui concerne les packages malveillants au cours de l’année dernière, nous avons constaté une multiplication par deux par rapport aux années précédentes. Cela devient une réalité associée à notre communauté de développement », a déclaré Barron-DiCamillo.

• Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
• PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
• PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
• PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
• PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
• La source: https://www.darkreading.com/application-security/untitled