Cara Memastikan Paket Sumber Terbuka Bukan Milik Saya

Repositori sumber terbuka sangat penting untuk menjalankan dan menulis aplikasi modern, namun berhati-hatilah – kecerobohan dapat meledakkan ranjau dan menimbulkan pintu belakang serta kerentanan dalam infrastruktur perangkat lunak. Departemen TI dan pengelola proyek perlu menilai kemampuan keamanan proyek untuk memastikan kode berbahaya tidak dimasukkan ke dalam aplikasi.

Kerangka kerja keamanan baru dari Cybersecurity and Infrastructure Security Agency (CISA) dan Open Source Security Foundation (OpenSSF) merekomendasikan kontrol seperti mengaktifkan otentikasi multi-faktor untuk pengelola proyek, kemampuan pelaporan keamanan pihak ketiga, dan peringatan untuk paket yang ketinggalan jaman atau tidak aman. membantu mengurangi paparan kode berbahaya dan paket yang menyamar sebagai kode sumber terbuka di repositori publik.

“Komunitas open source berkumpul di sekitar sumber air ini untuk mengambil paket-paket ini, mereka harus – dari sudut pandang infrastruktur – aman,” kata Omkhar Arasaratnam, manajer umum OpenSSF.

Dimana Kode Buruk Dapat Ditemukan

Sumber daya tersebut termasuk Github, yang menampung seluruh program, alat pemrograman, atau API yang menghubungkan perangkat lunak ke layanan online. Repositori lainnya termasuk PyPI, yang menampung paket Python; NPM, yang merupakan repositori JavaScript; dan Maven Central, yang merupakan repositori Java. Kode yang ditulis dengan Python, Rust, dan bahasa pemrograman lainnya mengunduh pustaka dari beberapa repositori paket.

Pengembang dapat secara tidak sengaja tertipu untuk memasukkan perangkat lunak berbahaya yang dapat dimasukkan ke dalam pengelola paket, yang dapat memberikan akses kepada peretas ke sistem. Program yang ditulis dalam bahasa seperti Python dan Rust dapat menyertakan perangkat lunak berbahaya jika pengembang menautkan ke URL yang salah.

Pedoman dalam “Prinsip Keamanan Repositori Paket” didasarkan pada upaya keamanan yang telah diadopsi oleh repositori. Yayasan Perangkat Lunak Python tahun lalu mengadopsi Sigstore, yang memastikan integritas dan asal paket yang terdapat dalam PyPI dan repositori lainnya.

Keamanan di seluruh repositori tidak terlalu buruk, namun tidak konsisten, kata Arasaratnam.

“Bagian pertama adalah mengumpulkan beberapa orang yang lebih populer… dan orang-orang penting dalam komunitas dan mulai menetapkan serangkaian kontrol yang dapat digunakan secara universal di seluruh komunitas,” kata Arasaratnam.

Pedoman yang tercantum dalam Prinsip Keamanan Repositori Paket CISA dapat mencegah insiden seperti namequatting, di mana paket berbahaya dapat diunduh oleh pengembang yang salah mengetik nama file atau URL yang salah.

“Anda mungkin secara tidak sengaja mem-boot versi paket yang berbahaya, atau ini bisa jadi merupakan skenario di mana seseorang mengunggah kode berbahaya dengan identitas pengelola tetapi hanya karena gangguan mesin,” kata Arasaratnam.

Lebih Sulit Mengenali Paket Berbahaya

Keamanan paket pada repositori mendominasi sesi panel keamanan sumber terbuka di Open Source in Finance Forum yang diadakan pada bulan November tahun lalu di New York.

“Ini seperti browser di masa lalu yang pada dasarnya rentan. Orang-orang akan mengunjungi situs web jahat, membuka pintu belakang, dan kemudian berkata 'wah, ini bukan situsnya,” kata Brian Fox, salah satu pendiri dan kepala bagian teknologi di Sonatype, selama diskusi panel.

“Kami melacak lebih dari 250,000 komponen yang sengaja dibuat berbahaya,” kata Fox.

Departemen TI mulai mengatasi kode berbahaya dan paket yang menyamar sebagai kode sumber terbuka, kata Ann Barron-DiCamillo, direktur pelaksana dan kepala operasi siber global di Citi, pada konferensi OSFF beberapa bulan lalu.

“Berbicara tentang paket jahat selama setahun terakhir, kami telah melihat peningkatan dua kali lipat dibandingkan tahun-tahun sebelumnya. Hal ini menjadi kenyataan terkait dengan komunitas pembangunan kami,” kata Barron-DiCamillo.

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
• PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
• PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
• PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
• Sumber: https://www.darkreading.com/application-security/untitled