Como garantir que pacotes de código aberto não sejam minas

Repositórios de código aberto são essenciais para executar e escrever aplicativos modernos, mas cuidado: o descuido pode detonar minas e injetar backdoors e vulnerabilidades em infraestruturas de software. Os departamentos de TI e os mantenedores de projetos precisam avaliar os recursos de segurança de um projeto para garantir que códigos maliciosos não sejam incorporados ao aplicativo.

Uma nova estrutura de segurança da Agência de Segurança Cibernética e de Infraestrutura (CISA) e da Open Source Security Foundation (OpenSSF) recomenda controles como ativação de autenticação multifatorial para mantenedores de projetos, recursos de relatórios de segurança de terceiros e avisos para pacotes desatualizados ou inseguros para ajudar a reduzir a exposição a códigos maliciosos e pacotes disfarçados de código-fonte aberto em repositórios públicos.

“A comunidade de código aberto se reúne em torno desses bebedouros para buscar esses pacotes; eles precisam ser – do ponto de vista da infraestrutura – seguros”, diz Omkhar Arasaratnam, gerente geral do OpenSSF.

Onde códigos ruins podem ser encontrados

Esses poços incluem o Github, que hospeda programas inteiros, ferramentas de programação ou APIs que conectam software a serviços online. Outros repositórios incluem PyPI, que hospeda pacotes Python; NPM, que é um repositório JavaScript; e Maven Central, que é um repositório Java. Código escrito em Python, Rust e outras linguagens de programação baixa bibliotecas de vários repositórios de pacotes.

Os desenvolvedores podem ser involuntariamente induzidos a obter software malicioso que pode ser injetado em gerenciadores de pacotes, o que pode dar aos hackers acesso aos sistemas. Programas escritos em linguagens como Python e Rust podem incluir software malicioso se os desenvolvedores acessarem o URL errado.

As diretrizes dos “Princípios para Segurança de Repositórios de Pacotes” baseiam-se nos esforços de segurança já adotados pelos repositórios. A Python Software Foundation no ano passado adotou Sigstore, que garante a integridade e procedência dos pacotes contidos em seu PyPI e outros repositórios.

A segurança nos repositórios não é terrivelmente ruim, mas é inconsistente, diz Arasaratnam.

“A primeira parte é reunir alguns dos mais populares… e significativos dentro da comunidade e começar a estabelecer um conjunto de controles que possam ser usados ​​universalmente entre eles”, diz Arasaratnam.

As diretrizes estabelecidas nos Princípios para Segurança de Repositórios de Pacotes da CISA podem evitar incidentes como a troca de nomes, em que pacotes maliciosos podem ser baixados por desenvolvedores digitando incorretamente o nome do arquivo ou URL errado.

“Você pode inicializar acidentalmente uma versão maliciosa do pacote ou pode ser um cenário em que alguém carregou um código malicioso sob a identidade do mantenedor, mas apenas devido ao comprometimento da máquina”, diz Arasaratnam.

Mais difícil de reconhecer pacotes maliciosos

A segurança dos pacotes nos repositórios dominou uma sessão de painel sobre segurança de código aberto no Open Source in Finance Forum, realizada em novembro do ano passado em Nova York.

“É como nos velhos tempos dos navegadores, quando eram inerentemente vulneráveis. As pessoas acessavam um site malicioso, derrubavam um backdoor e depois diziam ‘uau, este não é o site”, disse Brian Fox, cofundador e diretor de tecnologia da Sonatype, durante o painel de discussão.

“Estamos rastreando mais de 250,000 mil componentes que foram intencionalmente maliciosos”, disse Fox.

Os departamentos de TI estão enfrentando códigos maliciosos e pacotes disfarçados de código-fonte aberto, disse Ann Barron-DiCamillo, diretora administrativa e chefe global de operações cibernéticas do Citi, na conferência OSFF há alguns meses.

“Falando em pacotes maliciosos no ano passado, vimos um aumento duas vezes maior em relação aos anos anteriores. Isto está se tornando uma realidade associada à nossa comunidade de desenvolvimento”, disse Barron-DiCamillo.

• Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
• PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
• PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
• PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
• PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
• Fonte: https://www.darkreading.com/application-security/untitled