A nyílt forráskódú adattárak létfontosságúak a modern alkalmazások futtatásához és írásához, de vigyázat – a figyelmetlenség aknákat robbanthat fel, és hátsó ajtókat és sebezhetőségeket juttathat a szoftver-infrastruktúrákba. Az informatikai részlegeknek és a projekt karbantartóinak fel kell mérniük a projekt biztonsági képességeit annak biztosítására, hogy az alkalmazásba ne kerüljön rosszindulatú kód.
A Kiberbiztonsági és Infrastruktúra-biztonsági Ügynökség (CISA) és az Open Source Security Foundation (OpenSSF) új biztonsági keretrendszere olyan vezérlőket javasol, mint például a többtényezős hitelesítés engedélyezése a projektkarbantartók számára, a harmadik féltől származó biztonsági jelentéskészítési képességek, valamint az elavult vagy nem biztonságos csomagokra vonatkozó figyelmeztetések. segít csökkenteni a rosszindulatú kódoknak és a nyílt forráskódnak álcázó csomagoknak a nyilvános tárolókban való kitettségét.
„A nyílt forráskódú közösség ezek köré az üregek köré gyűlik össze, hogy lekérje ezeket a csomagokat, amelyeknek – infrastruktúra szempontjából – biztonságosnak kell lenniük” – mondja Omkhar Arasaratnam, az OpenSSF vezérigazgatója.
Hol található a rossz kód
Ezek közé tartozik a Github, amely teljes programokat, programozási eszközöket vagy API-kat tartalmaz, amelyek szoftvereket kapcsolnak össze az online szolgáltatásokkal. Egyéb adattárak közé tartozik a PyPI, amely Python-csomagokat tárol; NPM, amely egy JavaScript adattár; és a Maven Central, amely egy Java adattár. Python, Rust és más programozási nyelveken írt kód több csomagtárból tölti le a könyvtárakat.
A fejlesztőket akaratlanul is rávehetik, hogy olyan rosszindulatú szoftvereket húzzanak be, amelyeket a csomagkezelőkbe fecskendezhetnek, amelyek hozzáférést biztosíthatnak a hackereknek a rendszerekhez. A Python és Rust nyelveken írt programok rosszindulatú szoftvereket tartalmazhatnak, ha a fejlesztők rossz URL-re hivatkoznak.
A „Csomagtárak biztonságának alapelvei” című dokumentumban található irányelvek az adattárak által már elfogadott biztonsági erőfeszítésekre épülnek. A Python Software Foundation tavaly örökbe fogadta a Sigstore-ot, amely biztosítja a PyPI-ben és más tárolókban található csomagok integritását és eredetét.
A tárolók biztonsága nem kimondottan rossz, de inkonzisztens, mondja Arasaratnam.
„Az első rész az, hogy összegyűjtsünk néhányat a közösségen belül a népszerűbbek… és a jelentősebbek közül, és elkezdjük létrehozni egy olyan vezérlőkészletet, amely általánosan használható rajtuk belül” – mondja Arasaratnam.
A CISA Package Repository Security alapelveiben lefektetett irányelvek megakadályozhatják az olyan incidenseket, mint például a namesquatting, amikor a fejlesztők rosszindulatú fájlnevet vagy URL-t félreírva tölthetnek le rosszindulatú csomagokat.
„Véletlenül elindíthatja a csomag rosszindulatú verzióját, vagy előfordulhat, hogy valaki rosszindulatú kódot töltött fel a karbantartó identitása alatt, de csak a gép kompromittálódása miatt” – mondja Arasaratnam.
A rosszindulatú csomagokat nehezebb felismerni
A tárolókban található csomagok biztonsága uralta a nyílt forráskódú biztonsággal foglalkozó panelülést az Open Source in Finance Forumon, amelyet tavaly novemberben tartottak New Yorkban.
„Olyan ez, mint a böngészők régi napjaiban, amikor eredendően sebezhetőek voltak. Az emberek felkerestek egy rosszindulatú webhelyet, bezárták a hátsó ajtót, majd azt mondták: „Hú, ez nem az a webhely” – mondta Brian Fox, a Sonatype társalapítója és technológiai igazgatója a panelbeszélgetés során.
„Jóval több mint 250,000 XNUMX olyan összetevőt követünk nyomon, amelyek szándékosan rosszindulatúak voltak” – mondta Fox.
Az IT-részlegek megbirkózni kezdenek a rosszindulatú kóddal és a nyílt forráskódnak álcázott csomagokkal – mondta Ann Barron-DiCamillo, a Citi ügyvezető igazgatója és globális kiberművelet-vezetője az OSFF konferencián néhány hónappal ezelőtt.
„Ha az elmúlt év rosszindulatú csomagjairól beszélünk, az előző évekhez képest kétszeres növekedést tapasztaltunk. Ez a fejlesztői közösségünkhöz kapcsolódó valósággá válik” – mondta Barron-DiCamillo.
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
- PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
- PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
- PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
- Forrás: https://www.darkreading.com/application-security/untitled
- :van
- :is
- :nem
- :ahol
- $ UP
- 000
- 250
- 7
- a
- Rólunk
- hozzáférés
- véletlenül
- át
- fogadott
- ügynökség
- Augusztus
- már
- an
- és a
- és az infrastruktúra
- ann
- API-k
- Alkalmazás
- alkalmazások
- VANNAK
- körül
- AS
- értékeli
- társult
- At
- Hitelesítés
- hátsó ajtó
- Hátsóajtó
- Rossz
- BE
- egyre
- hogy
- Óvakodik
- Brian
- böngészők
- épít
- de
- by
- TUD
- képességek
- központi
- fő
- Főmérnöke
- citi
- Társalapító
- kód
- érkező
- közösség
- alkatrészek
- kompromisszum
- Konferencia
- Csatlakozás
- tartalmazott
- ellenőrzések
- tudott
- kritikai
- cyber
- Kiberbiztonság
- Nap
- osztályok
- fejlesztők
- Fejlesztés
- Igazgató
- vita
- domináló
- letöltés
- csökkent
- két
- alatt
- erőfeszítések
- lehetővé téve
- biztosítására
- biztosítja
- Egész
- létrehozni
- Exponálás
- kevés
- filé
- finanszíroz
- vezetéknév
- A
- Fórum
- talált
- Alapítvány
- róka
- Keretrendszer
- ból ből
- gyűjt
- általános
- kap
- GitHub
- Ad
- Globális
- Go
- markolatok
- irányelvek
- hackerek
- nehezebb
- Legyen
- fej
- hős
- segít
- Holes
- hosts
- Hogyan
- How To
- HTTPS
- Identitás
- if
- in
- tartalmaz
- Bejegyzett
- Növelje
- Infrastruktúra
- infrastruktúrák
- eredendően
- injekciót
- bizonytalan
- sértetlenség
- szándékosan
- bele
- Hát
- IT
- ITS
- Jáva
- JavaScript
- jpg
- csúnya
- Nyelvek
- keresztnév
- Tavaly
- könyvtárak
- mint
- LINK
- gép
- rosszindulatú
- menedzser
- Menedzserek
- kezelése
- Ügyvezető igazgató
- Maven
- Lehet..
- bányák
- modern
- hónap
- több
- többszörös
- név
- Szükség
- Új
- New York
- november
- of
- Tiszt
- Régi
- on
- azok
- online
- csak
- nyitva
- nyílt forráskódú
- nyílt forráskód
- Művelet
- or
- érdekében
- Más
- mi
- ki
- elavult
- felett
- csomag
- csomagok
- panel
- panelbeszélgetés
- rész
- Emberek (People)
- perspektíva
- Plató
- Platón adatintelligencia
- PlatoData
- Népszerű
- megakadályozása
- előző
- elvek
- Programozás
- programozási nyelvek
- Programok
- program
- eredet
- nyilvános
- vontatás
- Piton
- RE
- Valóság
- elismerik
- ajánlja
- csökkenteni
- Jelentő
- raktár
- futás
- Rozsda
- s
- Mondott
- azt mondja,
- forgatókönyv
- biztonság
- biztonság
- látott
- Szolgáltatások
- ülés
- készlet
- jelentős
- weboldal
- szoftver
- néhány
- forrás
- kezdet
- ilyen
- Systems
- Technológia
- hogy
- A
- Őket
- akkor
- Ezek
- ők
- harmadik fél
- ezt
- nak nek
- szerszámok
- Csomagkövetés
- átvert
- alatt
- univerzálisan
- feltöltve
- URL
- használt
- változat
- sérülékenységek
- Sebezhető
- we
- weboldal
- JÓL
- voltak
- amikor
- ami
- val vel
- belül
- lenne
- írás
- írott
- Rossz
- év
- év
- york
- te
- zephyrnet