Hoe u ervoor kunt zorgen dat open source-pakketten niet van mij zijn

Open-sourcerepository's zijn van cruciaal belang voor het draaien en schrijven van moderne applicaties, maar pas op: onzorgvuldigheid kan mijnen tot ontploffing brengen en achterdeurtjes en kwetsbaarheden in software-infrastructuren injecteren. IT-afdelingen en projectbeheerders moeten de beveiligingscapaciteiten van een project beoordelen om ervoor te zorgen dat er geen kwaadaardige code in de applicatie wordt opgenomen.

Een nieuw beveiligingsframework van de Cybersecurity and Infrastructure Security Agency (CISA) en Open Source Security Foundation (OpenSSF) beveelt controles aan zoals het inschakelen van multi-factor authenticatie voor projectbeheerders, beveiligingsrapportagemogelijkheden van derden en waarschuwingen voor verouderde of onveilige pakketten om helpen de blootstelling aan kwaadaardige code en pakketten die zich voordoen als open-sourcecode in openbare opslagplaatsen te verminderen.

“De open-sourcegemeenschap verzamelt zich rond deze drinkplaatsen om deze pakketten op te halen. Ze moeten – vanuit een infrastructuurperspectief – veilig zijn”, zegt Omkhar Arasaratnam, algemeen directeur van OpenSSF.

Waar slechte code kan worden gevonden

Tot die watergaten behoort Github, dat hele programma's, programmeertools of API's host die software met online services verbinden. Andere repositories zijn onder meer PyPI, dat Python-pakketten host; NPM, een JavaScript-repository; en Maven Central, een Java-repository. Code geschreven in Python, Rust en andere programmeertalen downloadt bibliotheken uit meerdere pakketrepository's.

Ontwikkelaars kunnen onbedoeld worden misleid om schadelijke software binnen te halen die in pakketbeheerders kan worden geïnjecteerd, waardoor hackers toegang tot systemen kunnen krijgen. Programma's die zijn geschreven in talen als Python en Rust kunnen schadelijke software bevatten als ontwikkelaars verbinding maken met de verkeerde URL.

De richtlijnen in de “Principles for Package Repository Security” bouwen voort op beveiligingsinspanningen die al door repository’s zijn overgenomen. De Python Software Foundation vorig jaar adopteerde Sigstore, dat de integriteit en herkomst garandeert van de pakketten die zich in de PyPI en andere repository's bevinden.

De beveiliging van alle repository's is niet abnormaal slecht, maar wel inconsistent, zegt Arasaratnam.

“Het eerste deel is het verzamelen van enkele van de meest populaire en belangrijke binnen de gemeenschap en het opzetten van een reeks controlemechanismen die universeel door hen kunnen worden gebruikt”, zegt Arasaratnam.

De richtlijnen die zijn uiteengezet in de Principles for Package Repository Security van CISA kunnen incidenten zoals namequatting voorkomen, waarbij kwaadaardige pakketten kunnen worden gedownload doordat ontwikkelaars de verkeerde bestandsnaam of URL verkeerd hebben getypt.

"Het kan zijn dat je per ongeluk een kwaadaardige versie van het pakket opstart, of het kan een scenario zijn waarin iemand kwaadaardige code heeft geüpload onder de identiteit van de beheerder, maar alleen als gevolg van machinecompromis", zegt Arasaratnam.

Moeilijker om kwaadaardige pakketten te herkennen

De beveiliging van pakketten op repositories domineerde een panelsessie over open-sourcebeveiliging op het Open Source in Finance Forum dat vorig jaar november in New York werd gehouden.

“Het lijkt op de oude tijd van browsers, toen ze inherent kwetsbaar waren. Mensen zouden naar een kwaadaardige website gaan, een achterdeur laten vallen en dan zeggen: 'Ho, dit is niet de site', zei Brian Fox, medeoprichter en hoofd technologie bij Sonatype, tijdens de paneldiscussie.

"We volgen ruim 250,000 componenten die opzettelijk kwaadaardig waren", aldus Fox.

IT-afdelingen krijgen grip op de kwaadaardige code en pakketten die zich voordoen als open-sourcecode, zei Ann Barron-DiCamillo, managing director en mondiaal hoofd cyberoperaties bij Citi, op de OSFF-conferentie een paar maanden geleden.

“Over kwaadaardige pakketten gesproken: het afgelopen jaar hebben we een verdubbeling gezien ten opzichte van voorgaande jaren. Dit wordt een realiteit die geassocieerd wordt met onze ontwikkelingsgemeenschap”, aldus Barron-DiCamillo.

• Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
• PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
• PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
• PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
• Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
• Bron: https://www.darkreading.com/application-security/untitled