พื้นที่เก็บข้อมูลโอเพ่นซอร์สมีความสำคัญอย่างยิ่งต่อการรันและเขียนแอปพลิเคชันสมัยใหม่ แต่ระวัง - ความประมาทอาจระเบิดระเบิดและแทรกซึมแบ็คดอร์และช่องโหว่ในโครงสร้างพื้นฐานซอฟต์แวร์ แผนกไอทีและผู้ดูแลโครงการจำเป็นต้องประเมินความสามารถด้านความปลอดภัยของโครงการเพื่อให้แน่ใจว่าโค้ดที่เป็นอันตรายจะไม่รวมอยู่ในแอปพลิเคชัน
เฟรมเวิร์กความปลอดภัยใหม่จาก Cybersecurity and Infrastructure Security Agency (CISA) และ Open Source Security Foundation (OpenSSF) แนะนำการควบคุม เช่น การเปิดใช้งานการตรวจสอบสิทธิ์แบบหลายปัจจัยสำหรับผู้ดูแลโครงการ ความสามารถในการรายงานความปลอดภัยของบุคคลที่สาม และคำเตือนสำหรับแพ็คเกจที่ล้าสมัยหรือไม่ปลอดภัย ช่วยลดการเปิดเผยโค้ดที่เป็นอันตรายและแพ็คเกจที่ปลอมแปลงเป็นโค้ดโอเพ่นซอร์สบนที่เก็บข้อมูลสาธารณะ
“ชุมชนโอเพ่นซอร์สรวมตัวกันอยู่รอบๆ แหล่งน้ำเหล่านี้เพื่อดึงแพ็คเกจเหล่านี้ พวกมันจะต้องปลอดภัยจากมุมมองของโครงสร้างพื้นฐาน” Omkhar Arasaratnam ผู้จัดการทั่วไปของ OpenSSF กล่าว
สามารถพบรหัสที่ไม่ถูกต้องได้ที่ไหน
ช่องโหว่เหล่านั้นรวมถึง Github ซึ่งโฮสต์โปรแกรมทั้งหมด เครื่องมือการเขียนโปรแกรม หรือ API ที่เชื่อมต่อซอฟต์แวร์กับบริการออนไลน์ ที่เก็บข้อมูลอื่น ๆ ได้แก่ PyPI ซึ่งโฮสต์แพ็คเกจ Python; NPM ซึ่งเป็นที่เก็บ JavaScript และ Maven Central ซึ่งเป็นพื้นที่เก็บข้อมูล Java โค้ดที่เขียนด้วย Python, Rust และภาษาการเขียนโปรแกรมอื่นๆ ดาวน์โหลดไลบรารีจากที่เก็บแพ็กเกจหลายแห่ง
นักพัฒนาอาจถูกหลอกโดยไม่ได้ตั้งใจให้ดึงซอฟต์แวร์ที่เป็นอันตรายซึ่งอาจแทรกเข้าไปในตัวจัดการแพ็คเกจ ซึ่งอาจทำให้แฮกเกอร์เข้าถึงระบบได้ โปรแกรมที่เขียนด้วยภาษาเช่น Python และ Rust อาจมีซอฟต์แวร์ที่เป็นอันตรายหากนักพัฒนาเชื่อมโยงไปยัง URL ที่ไม่ถูกต้อง
แนวทางใน “หลักการสำหรับการรักษาความปลอดภัยที่เก็บแพ็คเกจ” สร้างขึ้นจากความพยายามด้านความปลอดภัยที่นำมาใช้โดยที่เก็บข้อมูลแล้ว มูลนิธิซอฟต์แวร์ Python เมื่อปีที่แล้ว นำ Sigstore มาใช้ซึ่งรับประกันความสมบูรณ์และที่มาของแพ็คเกจที่มีอยู่ภายใน PyPI และที่เก็บข้อมูลอื่น ๆ
การรักษาความปลอดภัยทั่วทั้งที่เก็บข้อมูลไม่ได้แย่นัก แต่ก็ไม่สอดคล้องกัน Arasaratnam กล่าว
“ส่วนแรกคือการรวบรวมสิ่งที่ได้รับความนิยมมากกว่า … และสิ่งที่สำคัญภายในชุมชน และเริ่มสร้างชุดการควบคุมที่สามารถนำมาใช้ในระดับสากลกับพวกเขาได้” Arasaratnam กล่าว
แนวปฏิบัติที่กำหนดไว้ในหลักการของ CISA สำหรับการรักษาความปลอดภัยพื้นที่เก็บข้อมูลแพ็คเกจสามารถป้องกันเหตุการณ์ต่างๆ เช่น การเนมสควอต ซึ่งนักพัฒนาซอฟต์แวร์อาจดาวน์โหลดแพ็คเกจที่เป็นอันตรายโดยพิมพ์ชื่อไฟล์หรือ URL ผิด
“คุณอาจบู๊ตเวอร์ชันที่เป็นอันตรายของแพ็คเกจโดยไม่ได้ตั้งใจ หรืออาจเป็นสถานการณ์ที่มีคนอัปโหลดโค้ดที่เป็นอันตรายภายใต้ตัวตนของผู้ดูแล แต่เพียงเพราะเครื่องประนีประนอมเท่านั้น” Arasaratnam กล่าว
ยากต่อการจดจำแพ็คเกจที่เป็นอันตราย
ความปลอดภัยของแพ็คเกจบนพื้นที่เก็บข้อมูลครอบงำเซสชันแผงของการรักษาความปลอดภัยโอเพ่นซอร์สที่ Open Source in Finance Forum ซึ่งจัดขึ้นเมื่อเดือนพฤศจิกายนปีที่แล้วที่นิวยอร์ก
“มันเหมือนกับเบราว์เซอร์ในสมัยก่อนที่มีช่องโหว่โดยธรรมชาติ ผู้คนจะไปที่เว็บไซต์ที่เป็นอันตราย โดนแบ็คดอร์ทิ้ง จากนั้นจึงไปว่า 'โอ้โห นี่ไม่ใช่ไซต์นี้” Brian Fox ผู้ร่วมก่อตั้งและประธานเจ้าหน้าที่ฝ่ายเทคโนโลยีของ Sonatype กล่าวระหว่างการอภิปรายแบบเสวนา
“เรากำลังติดตามส่วนประกอบมากกว่า 250,000 ชิ้นที่จงใจเป็นอันตราย” Fox กล่าว
แผนกไอทีกำลังรับมือกับโค้ดที่เป็นอันตรายและแพ็คเกจที่ปลอมแปลงเป็นโค้ดโอเพ่นซอร์ส แอน บาร์รอน-ดิคามิลโล กรรมการผู้จัดการและหัวหน้าฝ่ายปฏิบัติการทางไซเบอร์ระดับโลกของ Citi กล่าวในการประชุม OSFF เมื่อไม่กี่เดือนที่ผ่านมา
“เมื่อพูดถึงแพ็คเกจที่เป็นอันตรายในปีที่แล้ว เราได้เห็นการเพิ่มขึ้นสองเท่าจากปีก่อนหน้า สิ่งนี้กำลังกลายเป็นความจริงที่เกี่ยวข้องกับชุมชนการพัฒนาของเรา” Barron-DiCamillo กล่าว
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
- เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
- เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/application-security/untitled
- :มี
- :เป็น
- :ไม่
- :ที่ไหน
- $ ขึ้น
- 000
- 250
- 7
- a
- เกี่ยวกับเรา
- เข้า
- บังเอิญ
- ข้าม
- บุญธรรม
- บริษัท ตัวแทน
- มาแล้ว
- แล้ว
- an
- และ
- และโครงสร้างพื้นฐาน
- ann
- APIs
- การใช้งาน
- การใช้งาน
- เป็น
- รอบ
- AS
- ประเมินผล
- ที่เกี่ยวข้อง
- At
- การยืนยันตัวตน
- ประตูหลัง
- แบ็ค
- ไม่ดี
- BE
- สมควร
- กำลัง
- ระวัง
- ไบรอัน
- เบราว์เซอร์
- สร้าง
- แต่
- by
- CAN
- ความสามารถในการ
- ส่วนกลาง
- หัวหน้า
- ประธานเจ้าหน้าที่ฝ่ายเทคโนโลยี
- ซิตี้
- ผู้ร่วมก่อตั้ง
- รหัส
- มา
- ชุมชน
- ส่วนประกอบ
- การประนีประนอม
- การประชุม
- เชื่อมต่อ
- ที่มีอยู่
- การควบคุม
- ได้
- วิกฤติ
- ไซเบอร์
- cybersecurity
- วัน
- หน่วยงาน
- นักพัฒนา
- พัฒนาการ
- ผู้อำนวยการ
- การสนทนา
- ครอบงำ
- ดาวน์โหลด
- ปรับตัวลดลง
- สอง
- ในระหว่าง
- ความพยายาม
- การเปิดใช้งาน
- ทำให้มั่นใจ
- เพื่อให้แน่ใจ
- ทั้งหมด
- สร้าง
- การเปิดรับ
- สองสาม
- เนื้อไม่มีมัน
- เงินทุน
- ชื่อจริง
- สำหรับ
- ฟอรั่ม
- พบ
- รากฐาน
- จิ้งจอก
- กรอบ
- ราคาเริ่มต้นที่
- รวบรวม
- General
- ได้รับ
- GitHub
- ให้
- เหตุการณ์ที่
- Go
- จับ
- แนวทาง
- แฮกเกอร์
- ยาก
- มี
- หัว
- จัดขึ้น
- ช่วย
- หลุม
- เจ้าภาพ
- สรุป ความน่าเชื่อถือของ Olymp Trade?
- ทำอย่างไร
- HTTPS
- เอกลักษณ์
- if
- in
- ประกอบด้วย
- Incorporated
- เพิ่ม
- โครงสร้างพื้นฐาน
- โครงสร้างพื้นฐาน
- อย่างโดยเนื้อแท้
- ฉีด
- ไม่ปลอดภัย
- ความสมบูรณ์
- จงใจ
- เข้าไป
- ISN
- IT
- ITS
- ชวา
- JavaScript
- jpg
- วาง
- ภาษา
- ชื่อสกุล
- ปีที่แล้ว
- ห้องสมุด
- กดไลก์
- LINK
- เครื่อง
- ที่เป็นอันตราย
- ผู้จัดการ
- ผู้จัดการ
- การจัดการ
- กรรมการผู้จัดการ
- Maven
- อาจ..
- การทำเหมืองแร่
- ทันสมัย
- เดือน
- ข้อมูลเพิ่มเติม
- หลาย
- ชื่อ
- จำเป็นต้อง
- ใหม่
- นิวยอร์ก
- พฤศจิกายน
- of
- เจ้าหน้าที่
- เก่า
- on
- คน
- ออนไลน์
- เพียง
- เปิด
- โอเพนซอร์ส
- รหัสโอเพนซอร์ซ
- การดำเนินการ
- or
- ใบสั่ง
- อื่นๆ
- ของเรา
- ออก
- เชย
- เกิน
- แพ็คเกจ
- แพคเกจ
- แผง
- อภิปราย
- ส่วนหนึ่ง
- คน
- มุมมอง
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- ยอดนิยม
- ป้องกัน
- ก่อน
- หลักการ
- การเขียนโปรแกรม
- การเขียนโปรแกรมภาษา
- โปรแกรม
- โครงการ
- ราก
- สาธารณะ
- การดึง
- หลาม
- RE
- ความจริง
- รับรู้
- แนะนำ
- ลด
- การรายงาน
- กรุ
- วิ่ง
- สนิม
- s
- กล่าวว่า
- พูดว่า
- สถานการณ์
- ปลอดภัย
- ความปลอดภัย
- เห็น
- บริการ
- เซสชั่น
- ชุด
- สำคัญ
- เว็บไซต์
- ซอฟต์แวร์
- บาง
- แหล่ง
- เริ่มต้น
- อย่างเช่น
- ระบบ
- เทคโนโลยี
- ที่
- พื้นที่
- พวกเขา
- แล้วก็
- ล้อยางขัดเหล่านี้ติดตั้งบนแกน XNUMX (มม.) ผลิตภัณฑ์นี้ถูกผลิตในหลายรูปทรง และหลากหลายเบอร์ความแน่นหนาของปริมาณอนุภาคขัดของมัน จะทำให้ท่านได้รับประสิทธิภาพสูงในการขัดและการใช้งานที่ยาวนาน
- พวกเขา
- ของบุคคลที่สาม
- นี้
- ไปยัง
- เครื่องมือ
- การติดตาม
- หลอก
- ภายใต้
- อย่างกว้างขวาง
- อัปโหลด
- URL
- มือสอง
- รุ่น
- ช่องโหว่
- อ่อนแอ
- we
- Website
- ดี
- คือ
- เมื่อ
- ที่
- กับ
- ภายใน
- จะ
- การเขียน
- เขียน
- ผิด
- ปี
- ปี
- นิวยอร์ก
- คุณ
- ลมทะเล