कैसे सुनिश्चित करें कि ओपन-सोर्स पैकेज खदानें नहीं हैं

कैसे सुनिश्चित करें कि ओपन-सोर्स पैकेज खदानें नहीं हैं

समय टिकट: 7 मार्च, 2024 10:00 PM
यह कैसे सुनिश्चित करें कि ओपन-सोर्स पैकेज प्लेटोब्लॉकचेन डेटा इंटेलिजेंस का उपयोग नहीं कर रहे हैं। लंबवत खोज. ऐ.

ओपन-सोर्स रिपॉजिटरी आधुनिक अनुप्रयोगों को चलाने और लिखने के लिए महत्वपूर्ण हैं, लेकिन सावधान रहें - लापरवाही से खदानों में विस्फोट हो सकता है और सॉफ्टवेयर बुनियादी ढांचे में पिछले दरवाजे और कमजोरियां आ सकती हैं। आईटी विभागों और परियोजना अनुरक्षकों को परियोजना की सुरक्षा क्षमताओं का आकलन करने की आवश्यकता है ताकि यह सुनिश्चित किया जा सके कि एप्लिकेशन में दुर्भावनापूर्ण कोड शामिल नहीं किया जा रहा है।

साइबर सुरक्षा और बुनियादी ढांचा सुरक्षा एजेंसी (सीआईएसए) और ओपन सोर्स सिक्योरिटी फाउंडेशन (ओपनएसएसएफ) का एक नया सुरक्षा ढांचा परियोजना अनुरक्षकों के लिए बहु-कारक प्रमाणीकरण सक्षम करने, तृतीय-पक्ष सुरक्षा रिपोर्टिंग क्षमताओं और पुराने या असुरक्षित पैकेजों के लिए चेतावनियों जैसे नियंत्रणों की सिफारिश करता है। सार्वजनिक रिपॉजिटरी पर ओपन-सोर्स कोड के रूप में छिपे दुर्भावनापूर्ण कोड और पैकेजों के जोखिम को कम करने में मदद करें।

ओपनएसएसएफ के महाप्रबंधक ओमखार अरासरत्नम कहते हैं, "इन पैकेजों को लाने के लिए ओपन-सोर्स समुदाय इन वॉटरिंग होल के आसपास इकट्ठा होता है, उन्हें बुनियादी ढांचे के नजरिए से सुरक्षित होना चाहिए।"

जहां ख़राब कोड पाया जा सकता है

उन वाटरिंग होल्स में जीथब शामिल है, जो पूरे प्रोग्राम, प्रोग्रामिंग टूल या एपीआई को होस्ट करता है जो सॉफ्टवेयर को ऑनलाइन सेवाओं से जोड़ता है। अन्य रिपॉजिटरी में PyPI शामिल है, जो Python पैकेज होस्ट करता है; एनपीएम, जो एक जावास्क्रिप्ट भंडार है; और मेवेन सेंट्रल, जो एक जावा रिपॉजिटरी है। पायथन, रस्ट और अन्य प्रोग्रामिंग भाषाओं में लिखे गए कोड कई पैकेज रिपॉजिटरी से लाइब्रेरी डाउनलोड करते हैं।

डेवलपर्स को अनजाने में दुर्भावनापूर्ण सॉफ़्टवेयर खींचने के लिए धोखा दिया जा सकता है जिसे पैकेज प्रबंधकों में इंजेक्ट किया जा सकता है, जो हैकर्स को सिस्टम तक पहुंच प्रदान कर सकता है। यदि डेवलपर्स गलत यूआरएल से लिंक करते हैं तो पायथन और रस्ट जैसी भाषाओं में लिखे गए प्रोग्राम में दुर्भावनापूर्ण सॉफ़्टवेयर शामिल हो सकते हैं।

"पैकेज रिपॉजिटरी सुरक्षा के सिद्धांत" में दिशानिर्देश रिपॉजिटरी द्वारा पहले से अपनाए गए सुरक्षा प्रयासों पर आधारित हैं। पिछले साल पायथन सॉफ्टवेयर फाउंडेशन सिगस्टोर को अपनाया, जो इसके PyPI और अन्य रिपॉजिटरी में मौजूद पैकेजों की अखंडता और उत्पत्ति सुनिश्चित करता है।

अरासरत्नम का कहना है कि रिपॉजिटरी में सुरक्षा बेहद खराब नहीं है, लेकिन यह असंगत है।

अरासरत्नम कहते हैं, "पहला भाग समुदाय के भीतर कुछ अधिक लोकप्रिय ... और महत्वपूर्ण लोगों को इकट्ठा करना है और नियंत्रणों का एक सेट स्थापित करना शुरू करना है, जिसका उपयोग सार्वभौमिक रूप से किया जा सकता है।"

पैकेज रिपोजिटरी सुरक्षा के लिए सीआईएसए के सिद्धांतों में दिए गए दिशानिर्देश नेमस्क्वाटिंग जैसी घटनाओं को रोक सकते हैं, जहां डेवलपर्स द्वारा गलत फ़ाइल नाम या यूआरएल को गलत टाइप करके दुर्भावनापूर्ण पैकेज डाउनलोड किए जा सकते हैं।

अरासरत्नम कहते हैं, "आप गलती से पैकेज का एक दुर्भावनापूर्ण संस्करण बूट कर सकते हैं, या यह एक ऐसा परिदृश्य हो सकता है जहां किसी ने कोड अपलोड किया है जो अनुरक्षक की पहचान के तहत दुर्भावनापूर्ण है, लेकिन केवल मशीन से समझौता होने के कारण।"

दुर्भावनापूर्ण पैकेजों को पहचानना कठिन है

पिछले साल नवंबर में न्यूयॉर्क में आयोजित ओपन सोर्स इन फाइनेंस फोरम में ओपन-सोर्स सुरक्षा के एक पैनल सत्र में रिपॉजिटरी पर पैकेजों की सुरक्षा हावी रही।

“यह ब्राउज़रों के पुराने दिनों की तरह है जब वे स्वाभाविक रूप से असुरक्षित थे। पैनल चर्चा के दौरान सोनाटाइप के सह-संस्थापक और मुख्य प्रौद्योगिकी अधिकारी ब्रायन फॉक्स ने कहा, लोग एक दुर्भावनापूर्ण वेबसाइट पर जाएंगे, पिछले दरवाजे को हटा देंगे और फिर कहेंगे 'अरे, यह साइट नहीं है।'

फॉक्स ने कहा, "हम 250,000 से अधिक घटकों पर नज़र रख रहे हैं जो जानबूझकर दुर्भावनापूर्ण थे।"

कुछ महीने पहले ओएसएफएफ सम्मेलन में सिटी के प्रबंध निदेशक और साइबर ऑपरेशंस के वैश्विक प्रमुख एन बैरोन-डिकैमिलो ने कहा, आईटी विभाग ओपन-सोर्स कोड के रूप में दुर्भावनापूर्ण कोड और पैकेजों की पकड़ में आ रहे हैं।

“पिछले वर्ष के दौरान दुर्भावनापूर्ण पैकेजों के बारे में बात करते हुए, हमने पिछले वर्षों की तुलना में दोगुनी वृद्धि देखी है। बैरोन-डिकैमिलो ने कहा, यह हमारे विकास समुदाय से जुड़ी एक वास्तविकता बन रही है।

समय टिकट:

से अधिक डार्क रीडिंग