오픈 소스 저장소는 최신 애플리케이션을 실행하고 작성하는 데 매우 중요합니다. 하지만 부주의로 인해 광산이 폭발하고 소프트웨어 인프라에 백도어와 취약점이 주입될 수 있으므로 주의하세요. IT 부서와 프로젝트 유지관리자는 악성 코드가 애플리케이션에 통합되지 않도록 프로젝트의 보안 기능을 평가해야 합니다.
CISA(사이버 보안 및 인프라 보안 기관) 및 OpenSSF(오픈 소스 보안 재단)의 새로운 보안 프레임워크는 프로젝트 관리자를 위한 다단계 인증, 제3자 보안 보고 기능, 오래되었거나 안전하지 않은 패키지에 대한 경고 등의 제어 기능을 권장합니다. 공개 저장소에서 오픈 소스 코드로 가장하는 악성 코드 및 패키지에 대한 노출을 줄이는 데 도움이 됩니다.
OpenSSF의 총괄 관리자인 Omkhar Arasaratnam은 “오픈 소스 커뮤니티는 이러한 패키지를 가져오기 위해 이러한 우물 주변에 모입니다. 인프라 관점에서 안전해야 합니다.”라고 말합니다.
잘못된 코드를 찾을 수 있는 곳
이러한 급수 구멍에는 소프트웨어를 온라인 서비스에 연결하는 전체 프로그램, 프로그래밍 도구 또는 API를 호스팅하는 Github가 포함됩니다. 다른 리포지토리에는 Python 패키지를 호스팅하는 PyPI가 포함됩니다. JavaScript 저장소인 NPM; 및 Java 저장소인 Maven Central이 있습니다. Python, Rust 및 기타 프로그래밍 언어로 작성된 코드는 여러 패키지 저장소에서 라이브러리를 다운로드합니다.
개발자는 의도치 않게 속아서 패키지 관리자에 삽입될 수 있는 악성 소프트웨어를 끌어들일 수 있으며, 이로 인해 해커가 시스템에 액세스할 수 있게 됩니다. Python 및 Rust와 같은 언어로 작성된 프로그램은 개발자가 잘못된 URL에 연결할 경우 악성 소프트웨어를 포함할 수 있습니다.
"패키지 리포지토리 보안 원칙"의 지침은 리포지토리에서 이미 채택한 보안 노력을 기반으로 합니다. 지난해 파이썬 소프트웨어 재단 시그스토어 채택이는 PyPI 및 기타 저장소에 포함된 패키지의 무결성과 출처를 보장합니다.
Arasaratnam은 저장소 전반의 보안이 심각하게 나쁘지는 않지만 일관성이 없다고 말합니다.
Arasaratnam은 “첫 번째 부분은 커뮤니티 내에서 더 인기 있고 중요한 컨트롤을 모아서 보편적으로 사용할 수 있는 일련의 컨트롤을 구축하는 것입니다.”라고 말했습니다.
CISA의 패키지 리포지토리 보안 원칙에 제시된 지침은 개발자가 잘못된 파일 이름이나 URL을 잘못 입력하여 악성 패키지를 다운로드할 수 있는 네임스쿼팅과 같은 사고를 방지할 수 있습니다.
Arasaratnam은 "실수로 패키지의 악성 버전을 부팅할 수도 있고, 누군가가 관리자의 신원으로 악성 코드를 업로드한 경우일 수도 있지만 이는 단지 시스템 손상 때문일 수 있습니다"라고 말했습니다.
악성 패키지를 인식하기가 더 어렵습니다.
리포지토리의 패키지 보안은 지난해 11월 뉴욕에서 열린 금융 오픈 소스 포럼에서 오픈 소스 보안 패널 세션을 지배했습니다.
“그것은 본질적으로 취약했던 옛날 브라우저와 같습니다. Sonatype의 공동 창립자이자 최고 기술 책임자인 Brian Fox는 패널 토론에서 사람들이 악의적인 웹 사이트로 이동하여 백도어를 설치한 후 '와, 여긴 사이트가 아닙니다'라고 말합니다.
Fox는 “우리는 의도적으로 악의적인 구성 요소를 250,000개 이상 추적하고 있습니다.”라고 말했습니다.
몇 달 전 OSFF 컨퍼런스에서 Citi의 전무이사이자 사이버 운영 글로벌 책임자인 Ann Barron-DiCamillo는 IT 부서가 오픈 소스 코드로 가장한 악성 코드와 패키지를 처리하기 시작했다고 말했습니다.
“작년에 악성 패키지에 관해 이야기하면 전년도에 비해 두 배 증가한 것으로 나타났습니다. 이는 우리 개발 커뮤니티와 관련된 현실이 되고 있습니다.”라고 Barron-DiCamillo는 말했습니다.
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
- PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
- PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
- 출처: https://www.darkreading.com/application-security/untitled
- :있다
- :이다
- :아니
- :어디
- $UP
- 000
- 250
- 7
- a
- 소개
- ACCESS
- 실수로
- 가로질러
- 채택
- 정부 기관
- ...전에
- 이미
- an
- 및
- 인프라
- 앤
- API
- 어플리케이션
- 어플리케이션
- 있군요
- 약
- AS
- 평가하다
- 관련
- At
- 인증
- 뒷문
- 백도어
- 나쁜
- BE
- 되고
- 존재
- 주의
- 브라이언
- 브라우저
- 빌드
- 비자 면제 프로그램에 해당하는 국가의 시민권을 가지고 있지만
- by
- CAN
- 기능
- 중심적인
- 주요한
- 최고 기술 책임자 (CTO)
- 씨티
- 공동 설립자
- 암호
- 오는
- 커뮤니티
- 구성 요소들
- 타협
- 컨퍼런스
- 연결하기
- 포함
- 컨트롤
- 수
- 임계
- 사이버
- 사이버 보안
- 일
- 부서
- 개발자
- 개발
- 책임자
- 토론
- 지배적 인
- 다운로드
- 떨어 뜨린
- 두
- ...동안
- 노력
- 가능
- 확인
- 보장
- 전체의
- 세우다
- 노출 시간
- 를
- 입양 부모로서의 귀하의 적합성을 결정하기 위해 미국 이민국에
- 재원
- 먼저,
- 럭셔리
- 포럼
- 발견
- Foundation
- 여우
- 뼈대
- 에
- 수집
- 일반
- 얻을
- GitHub의
- 주기
- 글로벌
- Go
- 그립
- 가이드 라인
- 해커
- 열심히
- 있다
- 머리
- 개최
- 도움
- 구멍
- 호스트
- 방법
- How To
- HTTPS
- 통합 인증
- if
- in
- 포함
- Incorporated
- 증가
- 인프라
- 하부 구조
- 본질적으로
- 주입
- 불안 정한
- 보전
- 의도적으로
- 으로
- Isn
- IT
- 그
- 자바
- 자바 스크립트
- JPG
- 누워
- 언어
- 성
- 작년
- 도서관
- 처럼
- LINK
- 기계
- 악의있는
- 매니저
- 관리자
- 관리
- Managing Director
- 메이븐
- XNUMX월..
- 지뢰
- 현대
- 개월
- 배우기
- 여러
- name
- 필요
- 신제품
- 뉴욕
- 십일월
- of
- 장교
- 낡은
- on
- 사람
- 온라인
- 만
- 열 수
- 오픈 소스
- 오픈 소스 코드
- 행정부
- or
- 주문
- 기타
- 우리의
- 아웃
- 구식의
- 위에
- 꾸러미
- 패키지
- 패널
- 패널 토론
- 부품
- 사람들
- 관점
- 플라톤
- 플라톤 데이터 인텔리전스
- 플라토데이터
- 인기 문서
- 예방
- 너무 이른
- 원칙
- 프로그램 작성
- 프로그래밍 언어
- 프로그램
- 프로젝트
- 기원
- 공개
- 당기
- Python
- RE
- 현실
- 인식
- 추천하다
- 감소
- 통계 보고서
- 저장소
- 달리는
- 녹
- s
- 말했다
- 라고
- 대본
- 안전해야합니다.
- 보안
- 본
- 서비스
- 세션
- 세트
- 상당한
- 대지
- 소프트웨어
- 일부
- 출처
- 스타트
- 이러한
- 시스템은
- Technology
- 그
- XNUMXD덴탈의
- 그들
- 그때
- Bowman의
- 그들
- 타사
- 이
- 에
- 검색을
- 추적
- 속은
- 아래에
- 보편적으로
- 업로드
- URL
- 익숙한
- 버전
- 취약점
- 취약
- we
- 웹 사이트
- 잘
- 했다
- 언제
- 어느
- 과
- 이내
- 겠지
- 쓰기
- 쓴
- 잘못된
- year
- 년
- 요크
- 자신의
- 제퍼 넷
