I repository open source sono fondamentali per eseguire e scrivere applicazioni moderne, ma attenzione: la disattenzione potrebbe far esplodere mine e iniettare backdoor e vulnerabilità nelle infrastrutture software. I dipartimenti IT e i manutentori del progetto devono valutare le capacità di sicurezza di un progetto per garantire che codice dannoso non venga incorporato nell'applicazione.
Un nuovo quadro di sicurezza della Cybersecurity and Infrastructure Security Agency (CISA) e della Open Source Security Foundation (OpenSSF) raccomanda controlli come l'abilitazione dell'autenticazione a più fattori per i manutentori del progetto, funzionalità di reporting sulla sicurezza di terze parti e avvisi per pacchetti obsoleti o non sicuri per contribuire a ridurre l'esposizione a codice dannoso e pacchetti mascherati da codice open source su repository pubblici.
"La comunità open source si riunisce attorno a questi pozzi d'acqua per recuperare questi pacchetti, che devono essere, dal punto di vista dell'infrastruttura, sicuri", afferma Omkhar Arasaratnam, direttore generale di OpenSSF.
Dove è possibile trovare il codice errato
Questi punti di raccolta includono Github, che ospita interi programmi, strumenti di programmazione o API che collegano il software ai servizi online. Altri repository includono PyPI, che ospita pacchetti Python; NPM, che è un repository JavaScript; e Maven Central, che è un repository Java. Il codice scritto in Python, Rust e altri linguaggi di programmazione scarica le librerie da più repository di pacchetti.
Gli sviluppatori potrebbero essere involontariamente indotti a inserire software dannoso che potrebbe essere inserito nei gestori di pacchetti, il che potrebbe consentire agli hacker di accedere ai sistemi. I programmi scritti in linguaggi come Python e Rust potrebbero includere software dannoso se gli sviluppatori si collegano all'URL sbagliato.
Le linee guida contenute nei "Principi per la sicurezza dei repository di pacchetti" si basano sugli sforzi di sicurezza già adottati dai repository. La Python Software Foundation lo scorso anno ha adottato Sigstore, che garantisce l'integrità e la provenienza dei pacchetti contenuti nel suo PyPI e in altri repository.
La sicurezza tra i repository non è pessima, ma è incoerente, dice Arasaratnam.
"La prima parte è riunire alcuni dei più popolari... e significativi all'interno della comunità e iniziare a stabilire una serie di controlli che potrebbero essere utilizzati universalmente in tutti loro", afferma Arasaratnam.
Le linee guida stabilite nei Principi per la sicurezza del repository di pacchetti CISA potrebbero prevenire incidenti come il namequatting, in cui pacchetti dannosi potrebbero essere scaricati da sviluppatori che digitano erroneamente il nome del file o l'URL sbagliato.
"Potresti accidentalmente avviare una versione dannosa del pacchetto, o potrebbe trattarsi di uno scenario in cui qualcuno ha caricato codice dannoso sotto l'identità del manutentore ma solo a causa della compromissione della macchina", afferma Arasaratnam.
Più difficile riconoscere i pacchetti dannosi
La sicurezza dei pacchetti sui repository ha dominato una sessione del panel sulla sicurezza open source presso l'Open Source in Finance Forum tenutosi nel novembre dello scorso anno a New York.
“È come ai vecchi tempi dei browser, quando erano intrinsecamente vulnerabili. Le persone visitavano un sito web dannoso, vedevano cadere una backdoor e poi dicevano "whoa, questo non è il sito giusto", ha affermato Brian Fox, co-fondatore e chief technology officer di Sonatype, durante la tavola rotonda.
"Stiamo monitorando oltre 250,000 componenti intenzionalmente dannosi", ha affermato Fox.
I dipartimenti IT stanno facendo i conti con il codice dannoso e i pacchetti mascherati da codice open source, ha affermato Ann Barron-DiCamillo, amministratore delegato e responsabile globale delle operazioni informatiche di Citi, alla conferenza OSFF di alcuni mesi fa.
“Parlando di pacchetti dannosi, nell’ultimo anno abbiamo assistito a un aumento doppio rispetto agli anni precedenti. Questa sta diventando una realtà associata alla nostra comunità di sviluppo”, ha affermato Barron-DiCamillo.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
- Fonte: https://www.darkreading.com/application-security/untitled
- :ha
- :È
- :non
- :Dove
- $ SU
- 000
- 250
- 7
- a
- Chi siamo
- accesso
- accidentalmente
- operanti in
- adottato
- agenzia
- fa
- già
- an
- ed
- e infrastruttura
- ann
- API
- Applicazioni
- applicazioni
- SONO
- in giro
- AS
- valutare
- associato
- At
- Autenticazione
- porta posteriore
- Backdoor
- Vasca
- BE
- diventando
- essendo
- Guardarsi da
- Brian
- browser
- costruire
- ma
- by
- Materiale
- funzionalità
- centrale
- capo
- Chief Technology Officer
- Citi
- Co-fondatore
- codice
- arrivo
- comunità
- componenti
- compromesso
- Convegno
- Connettiti
- contenute
- controlli
- potuto
- critico
- Cyber
- Cybersecurity
- Giorni
- dipartimenti
- sviluppatori
- Mercato
- Direttore
- discussione
- dominato
- scaricare
- caduto
- dovuto
- durante
- sforzi
- consentendo
- garantire
- assicura
- Intero
- stabilire
- Esposizione
- pochi
- Compila il
- finanziare
- Nome
- Nel
- Forum
- essere trovato
- Fondazione
- volpe
- Contesto
- da
- raccogliere
- Generale
- ottenere
- GitHub
- Dare
- globali
- Go
- impugnature
- linee guida
- hacker
- Più forte
- Avere
- capo
- Eroe
- Aiuto
- Fori
- padroni di casa
- Come
- Tutorial
- HTTPS
- Identità
- if
- in
- includere
- Incorporated
- Aumento
- Infrastruttura
- infrastruttura
- intrinsecamente
- iniettare
- insicuro
- interezza
- apposta
- ai miglioramenti
- ISN
- IT
- SUO
- Java
- JavaScript
- jpg
- laid
- Le Lingue
- Cognome
- L'anno scorso
- biblioteche
- piace
- LINK
- macchina
- maligno
- direttore
- I gestori
- gestione
- Consigliere Delegato
- Maven
- Maggio..
- miniere
- moderno
- mese
- Scopri di più
- multiplo
- Nome
- Bisogno
- New
- New York
- Novembre
- of
- Responsabile
- Vecchio
- on
- quelli
- online
- esclusivamente
- aprire
- open source
- codice open source
- Operazioni
- or
- minimo
- Altro
- nostro
- su
- antiquato
- ancora
- pacchetto
- Packages
- pannello di eventi
- tavola rotonda
- parte
- Persone
- prospettiva
- Platone
- Platone Data Intelligence
- PlatoneDati
- Popolare
- prevenire
- precedente
- principi
- Programmazione
- linguaggi di programmazione
- Programmi
- progetto
- provenienza
- la percezione
- traino
- Python
- RE
- Realtà
- riconoscere
- raccomanda
- ridurre
- Reportistica
- deposito
- running
- Ruggine
- s
- Suddetto
- dice
- scenario
- sicuro
- problemi di
- visto
- Servizi
- Sessione
- set
- significativa
- site
- Software
- alcuni
- Fonte
- inizia a
- tale
- SISTEMI DI TRATTAMENTO
- Tecnologia
- che
- I
- Li
- poi
- Strumenti Bowman per analizzare le seguenti finiture:
- di
- di parti terze standard
- questo
- a
- strumenti
- Tracking
- ingannato
- per
- universalmente
- caricato
- URL
- utilizzato
- versione
- vulnerabilità
- Vulnerabile
- we
- Sito web
- WELL
- sono stati
- quando
- quale
- con
- entro
- sarebbe
- scrittura
- scritto
- Wrong
- anno
- anni
- York
- Tu
- zefiro
