ओपन-सोर्स रिपॉजिटरी आधुनिक अनुप्रयोगों को चलाने और लिखने के लिए महत्वपूर्ण हैं, लेकिन सावधान रहें - लापरवाही से खदानों में विस्फोट हो सकता है और सॉफ्टवेयर बुनियादी ढांचे में पिछले दरवाजे और कमजोरियां आ सकती हैं। आईटी विभागों और परियोजना अनुरक्षकों को परियोजना की सुरक्षा क्षमताओं का आकलन करने की आवश्यकता है ताकि यह सुनिश्चित किया जा सके कि एप्लिकेशन में दुर्भावनापूर्ण कोड शामिल नहीं किया जा रहा है।
साइबर सुरक्षा और बुनियादी ढांचा सुरक्षा एजेंसी (सीआईएसए) और ओपन सोर्स सिक्योरिटी फाउंडेशन (ओपनएसएसएफ) का एक नया सुरक्षा ढांचा परियोजना अनुरक्षकों के लिए बहु-कारक प्रमाणीकरण सक्षम करने, तृतीय-पक्ष सुरक्षा रिपोर्टिंग क्षमताओं और पुराने या असुरक्षित पैकेजों के लिए चेतावनियों जैसे नियंत्रणों की सिफारिश करता है। सार्वजनिक रिपॉजिटरी पर ओपन-सोर्स कोड के रूप में छिपे दुर्भावनापूर्ण कोड और पैकेजों के जोखिम को कम करने में मदद करें।
ओपनएसएसएफ के महाप्रबंधक ओमखार अरासरत्नम कहते हैं, "इन पैकेजों को लाने के लिए ओपन-सोर्स समुदाय इन वॉटरिंग होल के आसपास इकट्ठा होता है, उन्हें बुनियादी ढांचे के नजरिए से सुरक्षित होना चाहिए।"
जहां ख़राब कोड पाया जा सकता है
उन वाटरिंग होल्स में जीथब शामिल है, जो पूरे प्रोग्राम, प्रोग्रामिंग टूल या एपीआई को होस्ट करता है जो सॉफ्टवेयर को ऑनलाइन सेवाओं से जोड़ता है। अन्य रिपॉजिटरी में PyPI शामिल है, जो Python पैकेज होस्ट करता है; एनपीएम, जो एक जावास्क्रिप्ट भंडार है; और मेवेन सेंट्रल, जो एक जावा रिपॉजिटरी है। पायथन, रस्ट और अन्य प्रोग्रामिंग भाषाओं में लिखे गए कोड कई पैकेज रिपॉजिटरी से लाइब्रेरी डाउनलोड करते हैं।
डेवलपर्स को अनजाने में दुर्भावनापूर्ण सॉफ़्टवेयर खींचने के लिए धोखा दिया जा सकता है जिसे पैकेज प्रबंधकों में इंजेक्ट किया जा सकता है, जो हैकर्स को सिस्टम तक पहुंच प्रदान कर सकता है। यदि डेवलपर्स गलत यूआरएल से लिंक करते हैं तो पायथन और रस्ट जैसी भाषाओं में लिखे गए प्रोग्राम में दुर्भावनापूर्ण सॉफ़्टवेयर शामिल हो सकते हैं।
"पैकेज रिपॉजिटरी सुरक्षा के सिद्धांत" में दिशानिर्देश रिपॉजिटरी द्वारा पहले से अपनाए गए सुरक्षा प्रयासों पर आधारित हैं। पिछले साल पायथन सॉफ्टवेयर फाउंडेशन सिगस्टोर को अपनाया, जो इसके PyPI और अन्य रिपॉजिटरी में मौजूद पैकेजों की अखंडता और उत्पत्ति सुनिश्चित करता है।
अरासरत्नम का कहना है कि रिपॉजिटरी में सुरक्षा बेहद खराब नहीं है, लेकिन यह असंगत है।
अरासरत्नम कहते हैं, "पहला भाग समुदाय के भीतर कुछ अधिक लोकप्रिय ... और महत्वपूर्ण लोगों को इकट्ठा करना है और नियंत्रणों का एक सेट स्थापित करना शुरू करना है, जिसका उपयोग सार्वभौमिक रूप से किया जा सकता है।"
पैकेज रिपोजिटरी सुरक्षा के लिए सीआईएसए के सिद्धांतों में दिए गए दिशानिर्देश नेमस्क्वाटिंग जैसी घटनाओं को रोक सकते हैं, जहां डेवलपर्स द्वारा गलत फ़ाइल नाम या यूआरएल को गलत टाइप करके दुर्भावनापूर्ण पैकेज डाउनलोड किए जा सकते हैं।
अरासरत्नम कहते हैं, "आप गलती से पैकेज का एक दुर्भावनापूर्ण संस्करण बूट कर सकते हैं, या यह एक ऐसा परिदृश्य हो सकता है जहां किसी ने कोड अपलोड किया है जो अनुरक्षक की पहचान के तहत दुर्भावनापूर्ण है, लेकिन केवल मशीन से समझौता होने के कारण।"
दुर्भावनापूर्ण पैकेजों को पहचानना कठिन है
पिछले साल नवंबर में न्यूयॉर्क में आयोजित ओपन सोर्स इन फाइनेंस फोरम में ओपन-सोर्स सुरक्षा के एक पैनल सत्र में रिपॉजिटरी पर पैकेजों की सुरक्षा हावी रही।
“यह ब्राउज़रों के पुराने दिनों की तरह है जब वे स्वाभाविक रूप से असुरक्षित थे। पैनल चर्चा के दौरान सोनाटाइप के सह-संस्थापक और मुख्य प्रौद्योगिकी अधिकारी ब्रायन फॉक्स ने कहा, लोग एक दुर्भावनापूर्ण वेबसाइट पर जाएंगे, पिछले दरवाजे को हटा देंगे और फिर कहेंगे 'अरे, यह साइट नहीं है।'
फॉक्स ने कहा, "हम 250,000 से अधिक घटकों पर नज़र रख रहे हैं जो जानबूझकर दुर्भावनापूर्ण थे।"
कुछ महीने पहले ओएसएफएफ सम्मेलन में सिटी के प्रबंध निदेशक और साइबर ऑपरेशंस के वैश्विक प्रमुख एन बैरोन-डिकैमिलो ने कहा, आईटी विभाग ओपन-सोर्स कोड के रूप में दुर्भावनापूर्ण कोड और पैकेजों की पकड़ में आ रहे हैं।
“पिछले वर्ष के दौरान दुर्भावनापूर्ण पैकेजों के बारे में बात करते हुए, हमने पिछले वर्षों की तुलना में दोगुनी वृद्धि देखी है। बैरोन-डिकैमिलो ने कहा, यह हमारे विकास समुदाय से जुड़ी एक वास्तविकता बन रही है।
- एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
- प्लेटोडेटा.नेटवर्क वर्टिकल जेनरेटिव एआई। स्वयं को शक्तिवान बनाएं। यहां पहुंचें।
- प्लेटोआईस्ट्रीम। Web3 इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
- प्लेटोईएसजी. कार्बन, क्लीनटेक, ऊर्जा, पर्यावरण, सौर, कचरा प्रबंधन। यहां पहुंचें।
- प्लेटोहेल्थ। बायोटेक और क्लिनिकल परीक्षण इंटेलिजेंस। यहां पहुंचें।
- स्रोत: https://www.darkreading.com/application-security/untitled
- :हैस
- :है
- :नहीं
- :कहाँ
- $यूपी
- 000
- 250
- 7
- a
- About
- पहुँच
- गलती से
- के पार
- दत्तक
- एजेंसी
- पूर्व
- पहले ही
- an
- और
- और बुनियादी ढांचे
- ann
- एपीआई
- आवेदन
- अनुप्रयोगों
- हैं
- चारों ओर
- AS
- आकलन
- जुड़े
- At
- प्रमाणीकरण
- पिछले दरवाजे
- पिछले दरवाजे
- बुरा
- BE
- बनने
- जा रहा है
- खबरदार
- ब्रायन
- ब्राउज़रों
- निर्माण
- लेकिन
- by
- कर सकते हैं
- क्षमताओं
- केंद्रीय
- प्रमुख
- मुख्य प्रौद्योगिकी अधिकारी
- सिटी
- सह-संस्थापक
- कोड
- अ रहे है
- समुदाय
- घटकों
- समझौता
- सम्मेलन
- जुडिये
- निहित
- नियंत्रण
- सका
- महत्वपूर्ण
- साइबर
- साइबर सुरक्षा
- दिन
- विभागों
- डेवलपर्स
- विकास
- निदेशक
- चर्चा
- बोलबाला
- डाउनलोड
- गिरा
- दो
- दौरान
- प्रयासों
- समर्थकारी
- सुनिश्चित
- सुनिश्चित
- संपूर्ण
- स्थापित करना
- अनावरण
- कुछ
- पट्टिका
- वित्त
- प्रथम
- के लिए
- मंच
- पाया
- बुनियाद
- लोमड़ी
- ढांचा
- से
- इकट्ठा
- सामान्य जानकारी
- मिल
- GitHub
- देना
- वैश्विक
- Go
- पकड़
- दिशा निर्देशों
- हैकर्स
- और जोर से
- है
- सिर
- धारित
- मदद
- छेद
- मेजबान
- कैसे
- How To
- HTTPS
- पहचान
- if
- in
- शामिल
- निगमित
- बढ़ना
- इंफ्रास्ट्रक्चर
- बुनियादी सुविधाओं
- स्वाभाविक
- इंजेक्षन
- असुरक्षित
- ईमानदारी
- जानबूझ कर
- में
- प्रतिसाद नहीं
- IT
- आईटी इस
- जावा
- जावास्क्रिप्ट
- जेपीजी
- रखी
- भाषाऐं
- पिछली बार
- पिछले साल
- पुस्तकालयों
- पसंद
- LINK
- मशीन
- दुर्भावनापूर्ण
- प्रबंधक
- प्रबंधक
- प्रबंध
- प्रबंध निदेशक
- Maven
- मई..
- खानों
- आधुनिक
- महीने
- अधिक
- विभिन्न
- नाम
- आवश्यकता
- नया
- न्यूयॉर्क
- नवंबर
- of
- अफ़सर
- पुराना
- on
- लोगों
- ऑनलाइन
- केवल
- खुला
- खुला स्रोत
- ओपन-सोर्स कोड
- संचालन
- or
- आदेश
- अन्य
- हमारी
- आउट
- रगड़ा हुआ
- के ऊपर
- पैकेज
- संकुल
- पैनल
- पैनल चर्चा
- भाग
- स्टाफ़
- परिप्रेक्ष्य
- प्लेटो
- प्लेटो डेटा इंटेलिजेंस
- प्लेटोडाटा
- लोकप्रिय
- को रोकने के
- पिछला
- सिद्धांतों
- प्रोग्रामिंग
- प्रोग्रामिंग की भाषाएँ
- प्रोग्राम्स
- परियोजना
- सूत्र
- सार्वजनिक
- खींच
- अजगर
- RE
- वास्तविकता
- पहचान
- की सिफारिश की
- को कम करने
- रिपोर्टिंग
- कोष
- दौड़ना
- जंग
- s
- कहा
- कहते हैं
- परिदृश्य
- सुरक्षित
- सुरक्षा
- देखा
- सेवाएँ
- सत्र
- सेट
- महत्वपूर्ण
- साइट
- सॉफ्टवेयर
- कुछ
- स्रोत
- प्रारंभ
- ऐसा
- सिस्टम
- टेक्नोलॉजी
- कि
- RSI
- उन
- फिर
- इन
- वे
- तीसरे दल
- इसका
- सेवा मेरे
- उपकरण
- ट्रैकिंग
- धोखा दिया
- के अंतर्गत
- सार्वभौमिक
- अपलोड की गई
- यूआरएल
- प्रयुक्त
- संस्करण
- कमजोरियों
- चपेट में
- we
- वेबसाइट
- कुंआ
- थे
- कब
- कौन कौन से
- साथ में
- अंदर
- होगा
- लिख रहे हैं
- लिखा हुआ
- गलत
- वर्ष
- साल
- यॉर्क
- आप
- जेफिरनेट