วิธีตรวจสอบให้แน่ใจว่าแพ็คเกจโอเพ่นซอร์สไม่ใช่ของฉัน

พื้นที่เก็บข้อมูลโอเพ่นซอร์สมีความสำคัญอย่างยิ่งต่อการรันและเขียนแอปพลิเคชันสมัยใหม่ แต่ระวัง - ความประมาทอาจระเบิดระเบิดและแทรกซึมแบ็คดอร์และช่องโหว่ในโครงสร้างพื้นฐานซอฟต์แวร์ แผนกไอทีและผู้ดูแลโครงการจำเป็นต้องประเมินความสามารถด้านความปลอดภัยของโครงการเพื่อให้แน่ใจว่าโค้ดที่เป็นอันตรายจะไม่รวมอยู่ในแอปพลิเคชัน

เฟรมเวิร์กความปลอดภัยใหม่จาก Cybersecurity and Infrastructure Security Agency (CISA) และ Open Source Security Foundation (OpenSSF) แนะนำการควบคุม เช่น การเปิดใช้งานการตรวจสอบสิทธิ์แบบหลายปัจจัยสำหรับผู้ดูแลโครงการ ความสามารถในการรายงานความปลอดภัยของบุคคลที่สาม และคำเตือนสำหรับแพ็คเกจที่ล้าสมัยหรือไม่ปลอดภัย ช่วยลดการเปิดเผยโค้ดที่เป็นอันตรายและแพ็คเกจที่ปลอมแปลงเป็นโค้ดโอเพ่นซอร์สบนที่เก็บข้อมูลสาธารณะ

“ชุมชนโอเพ่นซอร์สรวมตัวกันอยู่รอบๆ แหล่งน้ำเหล่านี้เพื่อดึงแพ็คเกจเหล่านี้ พวกมันจะต้องปลอดภัยจากมุมมองของโครงสร้างพื้นฐาน” Omkhar Arasaratnam ผู้จัดการทั่วไปของ OpenSSF กล่าว

สามารถพบรหัสที่ไม่ถูกต้องได้ที่ไหน

ช่องโหว่เหล่านั้นรวมถึง Github ซึ่งโฮสต์โปรแกรมทั้งหมด เครื่องมือการเขียนโปรแกรม หรือ API ที่เชื่อมต่อซอฟต์แวร์กับบริการออนไลน์ ที่เก็บข้อมูลอื่น ๆ ได้แก่ PyPI ซึ่งโฮสต์แพ็คเกจ Python; NPM ซึ่งเป็นที่เก็บ JavaScript และ Maven Central ซึ่งเป็นพื้นที่เก็บข้อมูล Java โค้ดที่เขียนด้วย Python, Rust และภาษาการเขียนโปรแกรมอื่นๆ ดาวน์โหลดไลบรารีจากที่เก็บแพ็กเกจหลายแห่ง

นักพัฒนาอาจถูกหลอกโดยไม่ได้ตั้งใจให้ดึงซอฟต์แวร์ที่เป็นอันตรายซึ่งอาจแทรกเข้าไปในตัวจัดการแพ็คเกจ ซึ่งอาจทำให้แฮกเกอร์เข้าถึงระบบได้ โปรแกรมที่เขียนด้วยภาษาเช่น Python และ Rust อาจมีซอฟต์แวร์ที่เป็นอันตรายหากนักพัฒนาเชื่อมโยงไปยัง URL ที่ไม่ถูกต้อง

แนวทางใน “หลักการสำหรับการรักษาความปลอดภัยที่เก็บแพ็คเกจ” สร้างขึ้นจากความพยายามด้านความปลอดภัยที่นำมาใช้โดยที่เก็บข้อมูลแล้ว มูลนิธิซอฟต์แวร์ Python เมื่อปีที่แล้ว นำ Sigstore มาใช้ซึ่งรับประกันความสมบูรณ์และที่มาของแพ็คเกจที่มีอยู่ภายใน PyPI และที่เก็บข้อมูลอื่น ๆ

การรักษาความปลอดภัยทั่วทั้งที่เก็บข้อมูลไม่ได้แย่นัก แต่ก็ไม่สอดคล้องกัน Arasaratnam กล่าว

“ส่วนแรกคือการรวบรวมสิ่งที่ได้รับความนิยมมากกว่า … และสิ่งที่สำคัญภายในชุมชน และเริ่มสร้างชุดการควบคุมที่สามารถนำมาใช้ในระดับสากลกับพวกเขาได้” Arasaratnam กล่าว

แนวปฏิบัติที่กำหนดไว้ในหลักการของ CISA สำหรับการรักษาความปลอดภัยพื้นที่เก็บข้อมูลแพ็คเกจสามารถป้องกันเหตุการณ์ต่างๆ เช่น การเนมสควอต ซึ่งนักพัฒนาซอฟต์แวร์อาจดาวน์โหลดแพ็คเกจที่เป็นอันตรายโดยพิมพ์ชื่อไฟล์หรือ URL ผิด

“คุณอาจบู๊ตเวอร์ชันที่เป็นอันตรายของแพ็คเกจโดยไม่ได้ตั้งใจ หรืออาจเป็นสถานการณ์ที่มีคนอัปโหลดโค้ดที่เป็นอันตรายภายใต้ตัวตนของผู้ดูแล แต่เพียงเพราะเครื่องประนีประนอมเท่านั้น” Arasaratnam กล่าว

ยากต่อการจดจำแพ็คเกจที่เป็นอันตราย

ความปลอดภัยของแพ็คเกจบนพื้นที่เก็บข้อมูลครอบงำเซสชันแผงของการรักษาความปลอดภัยโอเพ่นซอร์สที่ Open Source in Finance Forum ซึ่งจัดขึ้นเมื่อเดือนพฤศจิกายนปีที่แล้วที่นิวยอร์ก

“มันเหมือนกับเบราว์เซอร์ในสมัยก่อนที่มีช่องโหว่โดยธรรมชาติ ผู้คนจะไปที่เว็บไซต์ที่เป็นอันตราย โดนแบ็คดอร์ทิ้ง จากนั้นจึงไปว่า 'โอ้โห นี่ไม่ใช่ไซต์นี้” Brian Fox ผู้ร่วมก่อตั้งและประธานเจ้าหน้าที่ฝ่ายเทคโนโลยีของ Sonatype กล่าวระหว่างการอภิปรายแบบเสวนา

“เรากำลังติดตามส่วนประกอบมากกว่า 250,000 ชิ้นที่จงใจเป็นอันตราย” Fox กล่าว

แผนกไอทีกำลังรับมือกับโค้ดที่เป็นอันตรายและแพ็คเกจที่ปลอมแปลงเป็นโค้ดโอเพ่นซอร์ส แอน บาร์รอน-ดิคามิลโล กรรมการผู้จัดการและหัวหน้าฝ่ายปฏิบัติการทางไซเบอร์ระดับโลกของ Citi กล่าวในการประชุม OSFF เมื่อไม่กี่เดือนที่ผ่านมา

“เมื่อพูดถึงแพ็คเกจที่เป็นอันตรายในปีที่แล้ว เราได้เห็นการเพิ่มขึ้นสองเท่าจากปีก่อนหน้า สิ่งนี้กำลังกลายเป็นความจริงที่เกี่ยวข้องกับชุมชนการพัฒนาของเรา” Barron-DiCamillo กล่าว

• เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
• PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
• เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
• เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
• เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
• ที่มา: https://www.darkreading.com/application-security/untitled