オープンソース リポジトリは、最新のアプリケーションを実行および作成するために不可欠ですが、不注意によって地雷が爆発したり、ソフトウェア インフラストラクチャにバックドアや脆弱性が挿入される可能性があることに注意してください。 IT 部門とプロジェクトの管理者は、プロジェクトのセキュリティ機能を評価して、悪意のあるコードがアプリケーションに組み込まれていないことを確認する必要があります。
サイバーセキュリティ・インフラストラクチャー・セキュリティー庁 (CISA) とオープンソース・セキュリティー財団 (OpenSSF) による新しいセキュリティー・フレームワークは、プロジェクト管理者に対する多要素認証の有効化、サードパーティのセキュリティー・レポート機能、古くなったパッケージや安全でないパッケージに対する警告などの制御を推奨しています。悪意のあるコードや、パブリック リポジトリ上のオープンソース コードを装ったパッケージへの露出を減らすのに役立ちます。
「オープンソース コミュニティは、これらのパッケージを取得するために、これらの水飲み場に集まります。インフラストラクチャの観点から、パッケージは安全でなければなりません」と OpenSSF のゼネラル マネージャー、Omkhar Arasaratnam は述べています。
不正なコードが見つかる場所
これらの水飲み場には、プログラム全体、プログラミング ツール、またはソフトウェアをオンライン サービスに接続する API をホストする Github が含まれます。他のリポジトリには、Python パッケージをホストする PyPI が含まれます。 NPM: JavaScript リポジトリです。 Maven Central は Java リポジトリです。 Python、Rust、その他のプログラミング言語で書かれたコードは、複数のパッケージ リポジトリからライブラリをダウンロードします。
開発者が意図せずだまされて悪意のあるソフトウェアを取り込まれてパッケージ マネージャーに挿入され、ハッカーがシステムにアクセスできるようになる可能性があります。 Python や Rust などの言語で書かれたプログラムには、開発者が間違った URL にリンクすると、悪意のあるソフトウェアが組み込まれる可能性があります。
「パッケージ リポジトリ セキュリティの原則」のガイドラインは、リポジトリですでに採用されているセキュリティへの取り組みに基づいています。 Python ソフトウェア財団は昨年 シグストアを採用これにより、PyPI およびその他のリポジトリ内に含まれるパッケージの整合性と出所が保証されます。
リポジトリ間のセキュリティはひどく悪いわけではないが、一貫性がありません、と Arasaratnam 氏は言います。
「最初の部分は、コミュニティ内でより人気のある重要なものをいくつか集めて、コミュニティ全体で普遍的に使用できる一連のコントロールの確立を開始することです」とアラサラトナム氏は言います。
CISA のパッケージ リポジトリ セキュリティの原則に定められたガイドラインは、開発者が間違ったファイル名または URL を入力することによって悪意のあるパッケージがダウンロードされる可能性があるネームスクワッティングなどのインシデントを防ぐことができます。
「誤って悪意のあるバージョンのパッケージを起動してしまう可能性もあります。あるいは、誰かが管理者の身元を偽って悪意のあるコードをアップロードしたが、その原因は単にマシンの侵害によるものである可能性があります」と Arasaratnam 氏は言います。
悪意のあるパッケージの認識が困難になる
リポジトリ上のパッケージのセキュリティは、昨年 11 月にニューヨークで開催された Open Source in Finance Forum のオープンソース セキュリティに関するパネル セッションの大半を占めました。
「ブラウザが本質的に脆弱だった昔のようなものです。 Sonatype の共同創設者兼最高技術責任者であるブライアン・フォックス氏は、パネルディスカッション中に、人々は悪意のある Web サイトにアクセスし、バックドアがドロップされ、「おっと、ここはサイトではない」ということになるだろうと語った。
「私たちは意図的に悪意を持った250,000万以上のコンポーネントを追跡している」とフォックス氏は語った。
数か月前のOSFFカンファレンスで、IT部門はオープンソースコードを装った悪意のあるコードやパッケージに対処しつつあると、シティのマネジングディレクター兼サイバーオペレーショングローバル責任者のアン・バロン・ディカミロ氏が語った。
「昨年の悪意のあるパッケージについて言えば、前年比で 2 倍の増加が見られました。これは私たちの開発コミュニティに関連して現実になりつつあります」とバロン・ディカミロ氏は語った。
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/application-security/untitled
- :持っている
- :は
- :not
- :どこ
- $UP
- 000
- 250
- 7
- a
- 私たちについて
- アクセス
- 偶然
- 越えて
- 採択
- 代理店
- 前
- 既に
- an
- および
- とインフラ
- アン
- API
- 申し込み
- です
- 周りに
- AS
- 評価する
- 関連する
- At
- 認証
- 裏口
- バックドア
- 悪い
- BE
- になる
- さ
- 用心します
- ブライアン
- ブラウザ
- ビルド
- 焙煎が極度に未発達や過発達のコーヒーにて、クロロゲン酸の味わいへの影響は強くなり、金属を思わせる味わいと乾いたマウスフィールを感じさせます。
- by
- 缶
- 機能
- 中央の
- チーフ
- 最高技術責任者
- シティ
- 共同創設者
- コード
- 到来
- コミュニティ
- コンポーネント
- 妥協
- 講演
- お問合せ
- 含まれている
- controls
- 可能性
- 重大な
- サイバー
- サイバーセキュリティ
- 日
- 部署
- 開発者
- 開発
- 取締役
- 議論
- 優勢
- ダウンロード
- 落とした
- 原因
- 間に
- 努力
- 有効にする
- 確保
- 確実に
- 全体
- 確立する
- 暴露
- 少数の
- File
- ファイナンス
- 名
- フォーラム
- 発見
- Foundation
- キツネ
- フレームワーク
- から
- 集める
- 取得する
- GitHubの
- 与える
- グローバル
- Go
- グリップ
- ガイドライン
- ハッカー
- もっと強く
- 持ってる
- ヒーロー
- 助けます
- 穴
- ホスト
- 認定条件
- How To
- HTTPS
- アイデンティティ
- if
- in
- include
- Incorporated
- 増える
- インフラ
- インフラ
- 本質的に
- 注入します
- 安全でない
- 整合性
- 故意に
- に
- ISN
- IT
- ITS
- Java
- JavaScriptを
- JPG
- レイド
- ESL, ビジネスESL <br> 中国語/フランス語、その他
- 姓
- 昨年
- ライブラリ
- ような
- LINK
- 機械
- 悪意のある
- マネージャー
- マネージャー
- 管理する
- 取締役社長
- 達人
- 五月..
- 鉱山
- モダン
- ヶ月
- 他には?
- の試合に
- 名
- 必要
- 新作
- ニューヨーク
- 11月
- of
- 役員
- 古い
- on
- もの
- オンライン
- の
- 開いた
- オープンソース
- オープンソースコード
- 業務執行統括
- or
- 注文
- その他
- 私たちの
- でる
- 時代遅れの
- が
- パッケージ
- パッケージ
- パネル
- パネルディスカッション
- 部
- のワークプ
- 視点
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- 人気
- 防ぐ
- 前
- 原則
- プログラミング
- プログラミング言語
- プログラム
- プロジェクト
- 来歴
- 公共
- 引き
- Python
- RE
- 現実
- 認識する
- お勧めする
- 減らします
- 各種レポート作成
- 倉庫
- ランニング
- さび
- s
- 前記
- 言う
- シナリオ
- 安全に
- セキュリティ
- 見て
- サービス
- セッション
- セッションに
- 重要
- ウェブサイト
- ソフトウェア
- 一部
- ソース
- start
- そのような
- システム
- テクノロジー
- それ
- それら
- その後
- ボーマン
- 彼ら
- サードパーティ
- この
- 〜へ
- 豊富なツール群
- 追跡
- だまさ
- 下
- 普遍的
- アップロード
- URL
- 中古
- バージョン
- 脆弱性
- 脆弱な
- we
- ウェブサイト
- WELL
- した
- いつ
- which
- 以内
- でしょう
- 書き込み
- 書かれた
- 間違った
- 年
- 年
- ヨーク
- You
- ゼファーネット