Hur man säkerställer att paket med öppen källkod inte är gruvor

Hur man säkerställer att paket med öppen källkod inte är gruvor

Tidsstämpel: 7 mars 2024 10:00
Hur man säkerställer att Open-Source-paket inte är gruvor PlatoBlockchain Data Intelligence. Vertikal sökning. Ai.

Förråd med öppen källkod är avgörande för att köra och skriva moderna applikationer, men se upp – slarv kan detonera minor och injicera bakdörrar och sårbarheter i mjukvaruinfrastrukturer. IT-avdelningar och projektunderhållare måste utvärdera ett projekts säkerhetskapacitet för att säkerställa att skadlig kod inte införlivas i applikationen.

Ett nytt säkerhetsramverk från Cybersecurity and Infrastructure Security Agency (CISA) och Open Source Security Foundation (OpenSSF) rekommenderar kontroller som att möjliggöra multifaktorautentisering för projektunderhållare, tredjepartssäkerhetsrapporteringsfunktioner och varningar för inaktuella eller osäkra paket för att hjälpa till att minska exponeringen för skadlig kod och paket som maskerar sig som öppen källkod på offentliga arkiv.

"Open-source-gemenskapen samlas runt dessa vattenhål för att hämta dessa paket, de måste vara - ur ett infrastrukturperspektiv - säkra", säger Omkhar Arasaratnam, general manager för OpenSSF.

Där dålig kod kan hittas

Dessa vattenhål inkluderar Github, som är värd för hela program, programmeringsverktyg eller API:er som ansluter programvara till onlinetjänster. Andra förråd inkluderar PyPI, som är värd för Python-paket; NPM, som är ett JavaScript-förråd; och Maven Central, som är ett Java-förråd. Kod skriven i Python, Rust och andra programmeringsspråk laddar ner bibliotek från flera paketförråd.

Utvecklare kan oavsiktligt luras att dra in skadlig programvara som kan injiceras i pakethanterare, vilket kan ge hackare tillgång till system. Program skrivna på språk som Python och Rust kan innehålla skadlig programvara om utvecklare länkar till fel URL.

Riktlinjerna i "Principer för paketförvarssäkerhet" bygger på säkerhetsinsatser som redan antagits av förvar. Python Software Foundation förra året adopterade Sigstore, som säkerställer integriteten och ursprunget för paketen som finns i dess PyPI och andra förråd.

Säkerheten mellan förvar är inte absint dålig, men den är inkonsekvent, säger Arasaratnam.

"Den första delen är att samla några av de mer populära ... och betydelsefulla inom gemenskapen och börja etablera en uppsättning kontroller som kan användas universellt över dem", säger Arasaratnam.

Riktlinjerna som anges i CISA:s principer för paketförvarssäkerhet kan förhindra incidenter som namnsquatting, där skadliga paket kan laddas ner genom att utvecklare skriver fel filnamn eller URL.

"Du kan av misstag starta upp en skadlig version av paketet, eller så kan det vara ett scenario där någon har laddat upp kod som är skadlig under underhållarens identitet men bara på grund av maskinkompromettering", säger Arasaratnam.

Svårare att känna igen skadliga paket

Säkerheten för paket på arkiv dominerade en panelsession med öppen källkodssäkerhet på Open Source in Finance Forum som hölls i november förra året i New York.

"Det är som i gamla dagar med webbläsare när de var sårbara i sig. Människor skulle gå till en skadlig webbplats, få en bakdörr släppt och sedan säga "whow, det här är inte platsen", sa Brian Fox, medgrundare och teknisk chef på Sonatype, under paneldiskussionen.

"Vi spårar långt över 250,000 XNUMX komponenter som var avsiktligt skadliga," sa Fox.

IT-avdelningar kommer att ta itu med den skadliga koden och paketen som maskerar sig som öppen källkod, sa Ann Barron-DiCamillo, vd och global chef för cyberoperationer på Citi, vid OSFF-konferensen för några månader sedan.

"När vi pratar om skadliga paket under det senaste året har vi sett en fördubbling jämfört med tidigare år. Detta håller på att bli en verklighet förknippad med vår utvecklingsgemenskap”, sa Barron-DiCamillo.

Tidsstämpel:

Mer från Mörk läsning