כיצד להבטיח שחבילות קוד פתוח אינן מוקשים

מאגרי קוד פתוח הם קריטיים להפעלה וכתיבת יישומים מודרניים, אך היזהרו - חוסר זהירות עלול לפוצץ מוקשים ולהחדיר דלתות אחוריות ופגיעות בתשתיות תוכנה. מחלקות IT ומנהלי פרויקטים צריכים להעריך את יכולות האבטחה של הפרויקט כדי להבטיח שקוד זדוני לא משולב באפליקציה.

מסגרת אבטחה חדשה של סוכנות אבטחת סייבר ותשתיות (CISA) וקרן אבטחת קוד פתוח (OpenSSF) ממליצה על בקרות כגון הפעלת אימות רב-גורמי למנהלי פרויקטים, יכולות דיווח אבטחה של צד שלישי ואזהרות על חבילות מיושנות או לא מאובטחות. לעזור להפחית את החשיפה לקוד זדוני ולחבילות המתחזות לקוד קוד פתוח במאגרים ציבוריים.

"קהילת הקוד הפתוח מתאספת סביב בורות המים האלה כדי להביא את החבילות האלה, הן צריכות להיות - מנקודת מבט של תשתית - מאובטחות", אומר Omkhar Arasaratnam, מנהל כללי של OpenSSF.

היכן ניתן למצוא קוד רע

חורי השקיה אלה כוללים את Github, המארח תוכניות שלמות, כלי תכנות או ממשקי API המחברים תוכנה לשירותים מקוונים. מאגרים אחרים כוללים PyPI, המארח חבילות Python; NPM, שהוא מאגר JavaScript; ו-Maven Central, שהוא מאגר Java. קוד שנכתב ב-Python, Rust ושפות תכנות אחרות מורידים ספריות ממספר מאגרי חבילות.

מפתחים עלולים להונות ללא כוונה למשוך תוכנות זדוניות שעלולות להחדיר למנהלי חבילות, מה שעלול לתת להאקרים גישה למערכות. תוכניות שנכתבו בשפות כמו Python ו-Rust עלולות לכלול תוכנה זדונית אם מפתחים מקשרים לכתובת האתר הלא נכונה.

ההנחיות ב"עקרונות לאבטחת מאגר חבילות" מבוססות על מאמצי אבטחה שכבר אימצו על ידי המאגרים. קרן תוכנת פייתון בשנה שעברה אימצה את Sigstore, אשר מבטיח את שלמות ומקור החבילות הכלולות בתוך PyPI ומאגרים אחרים שלה.

האבטחה בין המאגרים אינה רעה להפליא, אבל היא לא עקבית, אומר ארסרטנם.

"החלק הראשון הוא לאסוף כמה מהפופולריים יותר... והמשמעותיים יותר בתוך הקהילה ולהתחיל להקים קבוצה של פקדים שניתן להשתמש בהם באופן אוניברסלי על פניהם", אומר Arasaratnam.

ההנחיות המפורטות ב-CISA's Principles for Package Repository Security עשויות למנוע תקריות כגון שמות, שבהן חבילות זדוניות עלולות להיות מורידות על ידי מפתחים בהקלדה שגויה של שם הקובץ או כתובת ה-URL.

"אתה עלול לאתחל בטעות גרסה זדונית של החבילה, או שזה יכול להיות תרחיש שבו מישהו העלה קוד זדוני תחת זהות המתחזק אבל רק בגלל פגיעה במכונה", אומר Arasaratnam.

קשה יותר לזהות חבילות זדוניות

אבטחת החבילות במאגרים שלטה במפגש פאנל של אבטחת קוד פתוח בפורום הקוד הפתוח בפיננסים שנערך בנובמבר אשתקד בניו יורק.

"זה כמו בימים ההם של דפדפנים כשהם היו פגיעים מטבעם. אנשים היו נכנסים לאתר זדוני, יורדים דלת אחורית ואז אומרים 'וואו, זה לא האתר', אמר בריאן פוקס, מייסד שותף ומנהל טכנולוגיה ראשי ב-Sonatype, במהלך דיון הפאנל.

"אנחנו עוקבים אחרי הרבה יותר מ-250,000 רכיבים שהיו זדוניים בכוונה", אמר פוקס.

מחלקות ה-IT מתמודדות עם הקוד הזדוני והחבילות המתחזות לקוד פתוח, אמרה אן בארון-דיקאמילו, מנהלת מנכ"לית ומנהלת פעולות סייבר גלובליות ב-Citi, בכנס OSFF לפני מספר חודשים.

"אם מדברים על חבילות זדוניות במהלך השנה האחרונה, ראינו עלייה פי שניים לעומת שנים קודמות. זה הופך למציאות הקשורה לקהילת הפיתוח שלנו", אמר Barron-DiCamillo.

• הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
• PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
• PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
• PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
• PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
• מקור: https://www.darkreading.com/application-security/untitled