Hogyan biztosítható, hogy a nyílt forráskódú csomagok ne legyenek enyémek

A nyílt forráskódú adattárak létfontosságúak a modern alkalmazások futtatásához és írásához, de vigyázat – a figyelmetlenség aknákat robbanthat fel, és hátsó ajtókat és sebezhetőségeket juttathat a szoftver-infrastruktúrákba. Az informatikai részlegeknek és a projekt karbantartóinak fel kell mérniük a projekt biztonsági képességeit annak biztosítására, hogy az alkalmazásba ne kerüljön rosszindulatú kód.

A Kiberbiztonsági és Infrastruktúra-biztonsági Ügynökség (CISA) és az Open Source Security Foundation (OpenSSF) új biztonsági keretrendszere olyan vezérlőket javasol, mint például a többtényezős hitelesítés engedélyezése a projektkarbantartók számára, a harmadik féltől származó biztonsági jelentéskészítési képességek, valamint az elavult vagy nem biztonságos csomagokra vonatkozó figyelmeztetések. segít csökkenteni a rosszindulatú kódoknak és a nyílt forráskódnak álcázó csomagoknak a nyilvános tárolókban való kitettségét.

„A nyílt forráskódú közösség ezek köré az üregek köré gyűlik össze, hogy lekérje ezeket a csomagokat, amelyeknek – infrastruktúra szempontjából – biztonságosnak kell lenniük” – mondja Omkhar Arasaratnam, az OpenSSF vezérigazgatója.

Hol található a rossz kód

Ezek közé tartozik a Github, amely teljes programokat, programozási eszközöket vagy API-kat tartalmaz, amelyek szoftvereket kapcsolnak össze az online szolgáltatásokkal. Egyéb adattárak közé tartozik a PyPI, amely Python-csomagokat tárol; NPM, amely egy JavaScript adattár; és a Maven Central, amely egy Java adattár. Python, Rust és más programozási nyelveken írt kód több csomagtárból tölti le a könyvtárakat.

A fejlesztőket akaratlanul is rávehetik, hogy olyan rosszindulatú szoftvereket húzzanak be, amelyeket a csomagkezelőkbe fecskendezhetnek, amelyek hozzáférést biztosíthatnak a hackereknek a rendszerekhez. A Python és Rust nyelveken írt programok rosszindulatú szoftvereket tartalmazhatnak, ha a fejlesztők rossz URL-re hivatkoznak.

A „Csomagtárak biztonságának alapelvei” című dokumentumban található irányelvek az adattárak által már elfogadott biztonsági erőfeszítésekre épülnek. A Python Software Foundation tavaly örökbe fogadta a Sigstore-ot, amely biztosítja a PyPI-ben és más tárolókban található csomagok integritását és eredetét.

A tárolók biztonsága nem kimondottan rossz, de inkonzisztens, mondja Arasaratnam.

„Az első rész az, hogy összegyűjtsünk néhányat a közösségen belül a népszerűbbek… és a jelentősebbek közül, és elkezdjük létrehozni egy olyan vezérlőkészletet, amely általánosan használható rajtuk belül” – mondja Arasaratnam.

A CISA Package Repository Security alapelveiben lefektetett irányelvek megakadályozhatják az olyan incidenseket, mint például a namesquatting, amikor a fejlesztők rosszindulatú fájlnevet vagy URL-t félreírva tölthetnek le rosszindulatú csomagokat.

„Véletlenül elindíthatja a csomag rosszindulatú verzióját, vagy előfordulhat, hogy valaki rosszindulatú kódot töltött fel a karbantartó identitása alatt, de csak a gép kompromittálódása miatt” – mondja Arasaratnam.

A rosszindulatú csomagokat nehezebb felismerni

A tárolókban található csomagok biztonsága uralta a nyílt forráskódú biztonsággal foglalkozó panelülést az Open Source in Finance Forumon, amelyet tavaly novemberben tartottak New Yorkban.

„Olyan ez, mint a böngészők régi napjaiban, amikor eredendően sebezhetőek voltak. Az emberek felkerestek egy rosszindulatú webhelyet, bezárták a hátsó ajtót, majd azt mondták: „Hú, ez nem az a webhely” – mondta Brian Fox, a Sonatype társalapítója és technológiai igazgatója a panelbeszélgetés során.

„Jóval több mint 250,000 XNUMX olyan összetevőt követünk nyomon, amelyek szándékosan rosszindulatúak voltak” – mondta Fox.

Az IT-részlegek megbirkózni kezdenek a rosszindulatú kóddal és a nyílt forráskódnak álcázott csomagokkal – mondta Ann Barron-DiCamillo, a Citi ügyvezető igazgatója és globális kiberművelet-vezetője az OSFF konferencián néhány hónappal ezelőtt.

„Ha az elmúlt év rosszindulatú csomagjairól beszélünk, az előző évekhez képest kétszeres növekedést tapasztaltunk. Ez a fejlesztői közösségünkhöz kapcsolódó valósággá válik” – mondta Barron-DiCamillo.

• SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
• PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
• PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
• PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
• PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
• Forrás: https://www.darkreading.com/application-security/untitled