Açık Kaynak Paketlerinin Maden Olmadığından Nasıl Emin Olulur?

Açık kaynak depoları, modern uygulamaları çalıştırmak ve yazmak için kritik öneme sahiptir, ancak dikkatli olun; dikkatsizlik, mayınları patlatabilir ve yazılım altyapılarında arka kapılar ve güvenlik açıkları oluşmasına neden olabilir. BT departmanlarının ve proje yöneticilerinin, kötü amaçlı kodun uygulamaya dahil edilmediğinden emin olmak için projenin güvenlik yeteneklerini değerlendirmesi gerekir.

Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) ve Açık Kaynak Güvenlik Vakfı'nın (OpenSSF) sunduğu yeni bir güvenlik çerçevesi, proje yöneticileri için çok faktörlü kimlik doğrulamanın etkinleştirilmesi, üçüncü taraf güvenlik raporlama yetenekleri ve güncel olmayan veya güvenli olmayan paketler için uyarılar gibi kontroller önermektedir. Kamuya açık depolarda açık kaynak kodu gibi görünen kötü amaçlı kodlara ve paketlere maruz kalmanın azaltılmasına yardımcı olun.

OpenSSF genel müdürü Omkhar Arasaratnam, "Açık kaynak topluluğu, bu paketleri almak için bu su kaynaklarının etrafında toplanıyor; bunların altyapı açısından güvenli olması gerekiyor" diyor.

Kötü Kodun Nerede Bulunabileceği

Bu önemli delikler arasında tüm programları, programlama araçlarını veya yazılımı çevrimiçi hizmetlere bağlayan API'leri barındıran Github yer alıyor. Diğer depolar arasında Python paketlerini barındıran PyPI; Bir JavaScript deposu olan NPM; ve bir Java deposu olan Maven Central. Python, Rust ve diğer programlama dillerinde yazılan kod, birden fazla paket deposundan kitaplıkları indirir.

Geliştiriciler, paket yöneticilerine enjekte edilebilecek ve bilgisayar korsanlarının sistemlere erişmesine olanak tanıyabilecek kötü amaçlı yazılımları almak için istemeden kandırılabilir. Python ve Rust gibi dillerde yazılan programlar, geliştiricilerin yanlış URL'ye bağlanması durumunda kötü amaçlı yazılım içerebilir.

“Paket Deposu Güvenliği İlkeleri”ndeki yönergeler, depolar tarafından hâlihazırda benimsenen güvenlik çabalarına dayanmaktadır. Python Yazılım Vakfı geçen yıl Sigstore'u benimsediPyPI ve diğer depolarda bulunan paketlerin bütünlüğünü ve kaynağını sağlayan.

Arasaratnam, depolardaki güvenliğin çok kötü olmadığını ancak tutarsız olduğunu söylüyor.

Arasaratnam, "İlk bölüm, topluluk içindeki daha popüler ve önemli olanlardan bazılarını bir araya getirmek ve bunlar arasında evrensel olarak kullanılabilecek bir dizi kontrol oluşturmaya başlamaktır" diyor.

CISA'nın Paket Deposu Güvenliği İlkeleri'nde ortaya konulan yönergeler, geliştiricilerin yanlış dosya adı veya URL'yi yanlış yazarak kötü amaçlı paketlerin indirilebileceği ad işgali gibi olayları önleyebilir.

Arasaratnam, "Paketin kötü amaçlı bir sürümünü yanlışlıkla başlatabilirsiniz veya bu, birinin bakımcının kimliği altında kötü amaçlı bir kod yüklediği ancak yalnızca makine güvenliğinin ihlali nedeniyle olduğu bir senaryo olabilir" diyor.

Kötü Amaçlı Paketlerin Tanınması Daha Zor

Depolardaki paketlerin güvenliği, geçen yıl Kasım ayında New York'ta düzenlenen Finans Forumunda Açık Kaynak Forumu'nda açık kaynak güvenliğine ilişkin bir panel oturumuna damgasını vurdu.

“Bu, tarayıcıların doğası gereği savunmasız olduğu eski günlere benziyor. Sonatype'ın kurucu ortağı ve baş teknoloji sorumlusu Brian Fox, panel tartışması sırasında, insanlar kötü amaçlı bir web sitesine gidiyor, bir arka kapı açılıyor ve ardından "vay be, bu site değil" diyordu.

Fox, "Kasıtlı olarak kötü amaçlı olan 250,000'den fazla bileşeni izliyoruz" dedi.

Citi'nin genel müdürü ve küresel siber operasyonlar başkanı Ann Barron-DiCamillo, birkaç ay önce OSFF konferansında, BT departmanlarının kötü amaçlı kodlarla ve açık kaynak kodu gibi görünen paketlerle uğraşmaya başladığını söyledi.

“Geçen yıl kötü amaçlı paketlerden bahsederken, önceki yıllara göre iki kat artış gördük. Bu, geliştirme topluluğumuzla ilişkili bir gerçeklik haline geliyor" dedi Barron-DiCamillo.

• SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
• PlatoData.Network Dikey Üretken Yapay Zeka. Kendine güç ver. Buradan Erişin.
• PlatoAiStream. Web3 Zekası. Bilgi Genişletildi. Buradan Erişin.
• PlatoESG. karbon, temiz teknoloji, Enerji, Çevre, Güneş, Atık Yönetimi. Buradan Erişin.
• PlatoSağlık. Biyoteknoloji ve Klinik Araştırmalar Zekası. Buradan Erişin.
• Kaynak: https://www.darkreading.com/application-security/untitled