מאגרי קוד פתוח הם קריטיים להפעלה וכתיבת יישומים מודרניים, אך היזהרו - חוסר זהירות עלול לפוצץ מוקשים ולהחדיר דלתות אחוריות ופגיעות בתשתיות תוכנה. מחלקות IT ומנהלי פרויקטים צריכים להעריך את יכולות האבטחה של הפרויקט כדי להבטיח שקוד זדוני לא משולב באפליקציה.
מסגרת אבטחה חדשה של סוכנות אבטחת סייבר ותשתיות (CISA) וקרן אבטחת קוד פתוח (OpenSSF) ממליצה על בקרות כגון הפעלת אימות רב-גורמי למנהלי פרויקטים, יכולות דיווח אבטחה של צד שלישי ואזהרות על חבילות מיושנות או לא מאובטחות. לעזור להפחית את החשיפה לקוד זדוני ולחבילות המתחזות לקוד קוד פתוח במאגרים ציבוריים.
"קהילת הקוד הפתוח מתאספת סביב בורות המים האלה כדי להביא את החבילות האלה, הן צריכות להיות - מנקודת מבט של תשתית - מאובטחות", אומר Omkhar Arasaratnam, מנהל כללי של OpenSSF.
היכן ניתן למצוא קוד רע
חורי השקיה אלה כוללים את Github, המארח תוכניות שלמות, כלי תכנות או ממשקי API המחברים תוכנה לשירותים מקוונים. מאגרים אחרים כוללים PyPI, המארח חבילות Python; NPM, שהוא מאגר JavaScript; ו-Maven Central, שהוא מאגר Java. קוד שנכתב ב-Python, Rust ושפות תכנות אחרות מורידים ספריות ממספר מאגרי חבילות.
מפתחים עלולים להונות ללא כוונה למשוך תוכנות זדוניות שעלולות להחדיר למנהלי חבילות, מה שעלול לתת להאקרים גישה למערכות. תוכניות שנכתבו בשפות כמו Python ו-Rust עלולות לכלול תוכנה זדונית אם מפתחים מקשרים לכתובת האתר הלא נכונה.
ההנחיות ב"עקרונות לאבטחת מאגר חבילות" מבוססות על מאמצי אבטחה שכבר אימצו על ידי המאגרים. קרן תוכנת פייתון בשנה שעברה אימצה את Sigstore, אשר מבטיח את שלמות ומקור החבילות הכלולות בתוך PyPI ומאגרים אחרים שלה.
האבטחה בין המאגרים אינה רעה להפליא, אבל היא לא עקבית, אומר ארסרטנם.
"החלק הראשון הוא לאסוף כמה מהפופולריים יותר... והמשמעותיים יותר בתוך הקהילה ולהתחיל להקים קבוצה של פקדים שניתן להשתמש בהם באופן אוניברסלי על פניהם", אומר Arasaratnam.
ההנחיות המפורטות ב-CISA's Principles for Package Repository Security עשויות למנוע תקריות כגון שמות, שבהן חבילות זדוניות עלולות להיות מורידות על ידי מפתחים בהקלדה שגויה של שם הקובץ או כתובת ה-URL.
"אתה עלול לאתחל בטעות גרסה זדונית של החבילה, או שזה יכול להיות תרחיש שבו מישהו העלה קוד זדוני תחת זהות המתחזק אבל רק בגלל פגיעה במכונה", אומר Arasaratnam.
קשה יותר לזהות חבילות זדוניות
אבטחת החבילות במאגרים שלטה במפגש פאנל של אבטחת קוד פתוח בפורום הקוד הפתוח בפיננסים שנערך בנובמבר אשתקד בניו יורק.
"זה כמו בימים ההם של דפדפנים כשהם היו פגיעים מטבעם. אנשים היו נכנסים לאתר זדוני, יורדים דלת אחורית ואז אומרים 'וואו, זה לא האתר', אמר בריאן פוקס, מייסד שותף ומנהל טכנולוגיה ראשי ב-Sonatype, במהלך דיון הפאנל.
"אנחנו עוקבים אחרי הרבה יותר מ-250,000 רכיבים שהיו זדוניים בכוונה", אמר פוקס.
מחלקות ה-IT מתמודדות עם הקוד הזדוני והחבילות המתחזות לקוד פתוח, אמרה אן בארון-דיקאמילו, מנהלת מנכ"לית ומנהלת פעולות סייבר גלובליות ב-Citi, בכנס OSFF לפני מספר חודשים.
"אם מדברים על חבילות זדוניות במהלך השנה האחרונה, ראינו עלייה פי שניים לעומת שנים קודמות. זה הופך למציאות הקשורה לקהילת הפיתוח שלנו", אמר Barron-DiCamillo.
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- מקור: https://www.darkreading.com/application-security/untitled
- :יש ל
- :הוא
- :לֹא
- :איפה
- $ למעלה
- 000
- 250
- 7
- a
- אודות
- גישה
- בטעות
- לרוחב
- מאומץ
- סוכנות
- לִפנֵי
- כְּבָר
- an
- ו
- תשתיות
- אן
- ממשקי API
- בקשה
- יישומים
- ARE
- סביב
- AS
- לְהַעֲרִיך
- המשויך
- At
- אימות
- דלת אחורית
- דלתות אחוריות
- רע
- BE
- התהוות
- להיות
- לְהִזָהֵר
- בריאן
- דפדפנים
- לִבנוֹת
- אבל
- by
- CAN
- יכולות
- מֶרכָּזִי
- רֹאשׁ
- מנהל טכנולוגיה ראשי
- סיטי
- מייסד שותף
- קוד
- מגיע
- קהילה
- רכיבים
- פשרה
- כנס
- לְחַבֵּר
- הכלול
- בקרות
- יכול
- קריטי
- סייבר
- אבטחת סייבר
- ימים
- מחלקות
- מפתחים
- צעצועי התפתחות
- מְנַהֵל
- דיון
- נשלט
- להורדה
- ירד
- ראוי
- בְּמַהֲלָך
- מַאֲמָצִים
- מה שמאפשר
- לְהַבטִיחַ
- מבטיח
- שלם
- להקים
- חשיפה
- מעטים
- שלח
- לממן
- ראשון
- בעד
- פוֹרוּם
- מצא
- קרן
- שועל
- מסגרת
- החל מ-
- ללקט
- כללי
- לקבל
- GitHub
- לתת
- גלוֹבָּלִי
- Go
- אוחז
- הנחיות
- האקרים
- קשה
- יש
- ראש
- הוחזק
- לעזור
- חורים
- מארחים
- איך
- איך
- HTTPS
- זהות
- if
- in
- לכלול
- התאגדה
- להגדיל
- תשתית
- תשתית
- מטבע הדברים
- לְהַזרִיק
- לא בטוח
- שלמות
- בכוונה
- אל תוך
- J States
- IT
- שֶׁלָה
- Java
- JavaScript
- jpg
- הניח
- שפות
- אחרון
- שנה שעברה
- ספריות
- כמו
- קשר
- מכונה
- זדוני
- מנהל
- מנהלים
- ניהול
- מנכ"ל
- Maven
- מאי..
- מוקשים
- מודרני
- חודשים
- יותר
- מספר
- שם
- צורך
- חדש
- ניו יורק
- נוֹבֶמבֶּר
- of
- קָצִין
- זקן
- on
- יחידות
- באינטרנט
- רק
- לפתוח
- קוד פתוח
- קוד קוד פתוח
- תפעול
- or
- להזמין
- אחר
- שלנו
- הַחוּצָה
- מְיוּשָׁן
- יותר
- חבילה
- חבילות
- לוח
- דיון רב - משתתפים
- חלק
- אֲנָשִׁים
- פרספקטיבה
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- פופולרי
- למנוע
- קודם
- עקרונות
- תכנות
- שפות תכנות
- תוכניות
- פּרוֹיֶקט
- מוֹצָא
- ציבורי
- מושך
- פיתון
- RE
- מציאות
- להכיר
- ממליצה
- להפחית
- דווח
- מאגר
- ריצה
- חלודה
- s
- אמר
- אומר
- תרחיש
- לבטח
- אבטחה
- לראות
- שירותים
- מושב
- סט
- משמעותי
- אתר
- תוכנה
- כמה
- מָקוֹר
- התחלה
- כזה
- מערכות
- טכנולוגיה
- זֶה
- השמיים
- אותם
- אז
- אלה
- הֵם
- צד שלישי
- זֶה
- ל
- כלים
- מעקב
- מְרוּמֶה
- תחת
- באופן אוניברסלי
- נטען
- כתובת האתר
- מְשׁוּמָשׁ
- גרסה
- פגיעויות
- פגיע
- we
- אתר
- טוֹב
- היו
- מתי
- אשר
- עם
- בתוך
- היה
- כתיבה
- כתוב
- טעות
- שנה
- שנים
- york
- אתה
- זפירנט