Hvordan sikre at åpen kildekode-pakker ikke er mine

Hvordan sikre at åpen kildekode-pakker ikke er mine

Tidsstempel: 7. mars 2024 10:00
Hvordan sikre at åpen kildekode-pakker ikke er gruver PlatoBlockchain Data Intelligence. Vertikalt søk. Ai.

Åpen kildekodelagre er avgjørende for å kjøre og skrive moderne applikasjoner, men pass på – uforsiktighet kan detonere miner og injisere bakdører og sårbarheter i programvareinfrastrukturer. IT-avdelinger og prosjektvedlikeholdere må vurdere et prosjekts sikkerhetsegenskaper for å sikre at skadelig kode ikke blir inkorporert i applikasjonen.

Et nytt sikkerhetsrammeverk fra Cybersecurity and Infrastructure Security Agency (CISA) og Open Source Security Foundation (OpenSSF) anbefaler kontroller som aktivering av multifaktorautentisering for prosjektvedlikeholdere, tredjeparts sikkerhetsrapporteringsfunksjoner og advarsler for utdaterte eller usikre pakker. bidra til å redusere eksponeringen for ondsinnet kode og pakker som er maskert som åpen kildekode på offentlige arkiver.

"Open source-fellesskapet samles rundt disse vannhullene for å hente disse pakkene, de må være - fra et infrastrukturperspektiv - sikre," sier Omkhar Arasaratnam, daglig leder for OpenSSF.

Hvor dårlig kode kan bli funnet

Disse vannhullene inkluderer Github, som er vert for hele programmer, programmeringsverktøy eller API-er som kobler programvare til nettjenester. Andre depoter inkluderer PyPI, som er vert for Python-pakker; NPM, som er et JavaScript-depot; og Maven Central, som er et Java-depot. Kode skrevet i Python, Rust og andre programmeringsspråk laster ned biblioteker fra flere pakkelager.

Utviklere kan utilsiktet bli lurt til å trekke inn skadelig programvare som kan injiseres i pakkebehandlere, noe som kan gi hackere tilgang til systemer. Programmer skrevet på språk som Python og Rust kan inkludere skadelig programvare hvis utviklere kobler opp til feil URL.

Retningslinjene i "Principles for Package Repository Security" bygger på sikkerhetstiltak som allerede er tatt i bruk av repositories. Python Software Foundation i fjor adopterte Sigstore, som sikrer integriteten og opprinnelsen til pakkene som finnes i PyPI og andre depoter.

Sikkerheten på tvers av depoter er ikke uhyggelig dårlig, men den er inkonsekvent, sier Arasaratnam.

"Den første delen er å samle noen av de mer populære ... og betydningsfulle i samfunnet og begynne å etablere et sett med kontroller som kan brukes universelt på tvers av dem," sier Arasaratnam.

Retningslinjene som er lagt ut i CISAs prinsipper for sikkerhet for pakkelager, kan forhindre hendelser som navneoppbevaring, der ondsinnede pakker kan lastes ned ved at utviklere skriver feil filnavn eller URL.

"Du kan ved et uhell starte opp en ondsinnet versjon av pakken, eller det kan være et scenario der noen har lastet opp kode som er skadelig under identiteten til vedlikeholderen, men bare på grunn av maskinkompromittering," sier Arasaratnam.

Vanskeligere å gjenkjenne skadelige pakker

Sikkerheten til pakker på repositories dominerte en panelsesjon med åpen kildekode-sikkerhet på Open Source in Finance Forum som ble holdt i november i fjor i New York.

"Det er som i gamle dager med nettlesere da de var iboende sårbare. Folk ville gå til et ondsinnet nettsted, få en bakdør droppet, og så si "hei, dette er ikke stedet," sa Brian Fox, medgründer og teknologisjef i Sonatype, under paneldiskusjonen.

"Vi sporer godt over 250,000 XNUMX komponenter som var bevisst skadelige," sa Fox.

IT-avdelinger tar tak i den ondsinnede koden og pakkene som er maskert som åpen kildekode, sa Ann Barron-DiCamillo, administrerende direktør og global leder for cyberoperasjoner i Citi, på OSFF-konferansen for noen måneder siden.

"Når vi snakker om ondsinnede pakker det siste året, har vi sett en dobling i forhold til tidligere år. Dette er i ferd med å bli en realitet assosiert med utviklingsfellesskapet vårt," sa Barron-DiCamillo.

Tidstempel:

Mer fra Mørk lesning