Як переконатися, що пакети з відкритим вихідним кодом не є шахтою

Репозиторії з відкритим кодом мають вирішальне значення для запуску та написання сучасних програм, але будьте обережні: необережність може підірвати міни та створити бекдори та вразливості в програмній інфраструктурі. ІТ-відділи та супроводжувачі проекту повинні оцінити можливості безпеки проекту, щоб переконатися, що шкідливий код не включено до програми.

Нова структура безпеки від Агентства кібербезпеки та безпеки інфраструктури (CISA) і Open Source Security Foundation (OpenSSF) рекомендує такі елементи керування, як увімкнення багатофакторної автентифікації для супроводжуючих проектів, можливості сторонніх звітів про безпеку та попередження про застарілі або незахищені пакети для допомагають зменшити вплив шкідливого коду та пакетів, які маскуються під відкритий код у загальнодоступних сховищах.

«Спільнота з відкритим кодом збирається навколо цих дірок, щоб отримати ці пакети, вони мають бути — з точки зору інфраструктури — безпечними», — каже Омкхар Арасаратнам, генеральний менеджер OpenSSF.

Де можна знайти поганий код

Серед цих «пропасти» є Github, на якому розміщені цілі програми, інструменти програмування або API, які підключають програмне забезпечення до онлайн-сервісів. Інші репозиторії включають PyPI, який містить пакети Python; NPM, який є репозиторієм JavaScript; і Maven Central, який є репозиторієм Java. Код, написаний Python, Rust та іншими мовами програмування, завантажує бібліотеки з кількох сховищ пакунків.

Розробників можуть ненавмисно обманом змусити завантажити шкідливе програмне забезпечення, яке можна впровадити в менеджери пакунків, що може надати хакерам доступ до систем. Програми, написані такими мовами, як Python і Rust, можуть містити зловмисне програмне забезпечення, якщо розробники посилаються на неправильну URL-адресу.

Інструкції в «Принципах безпеки сховища пакунків» базуються на заходах безпеки, уже прийнятих репозиторіями. Python Software Foundation минулого року прийнятий Sigstore, що забезпечує цілісність і походження пакетів, які містяться в його PyPI та інших сховищах.

За словами Арасаратнама, безпека в сховищах не дуже погана, але вона суперечлива.

«Перша частина полягає в тому, щоб зібрати деякі з найбільш популярних… і значущих у спільноті та почати створювати набір набору елементів керування, які можна було б використовувати повсюдно», — говорить Арасаратнам.

Рекомендації, викладені в Принципах безпеки репозиторіїв пакетів CISA, можуть запобігти таким інцидентам, як маніпулювання іменами, коли шкідливі пакети можуть бути завантажені розробниками, неправильно ввівши назву файлу або URL-адресу.

«Ви можете випадково завантажити шкідливу версію пакета, або це може бути сценарій, коли хтось завантажив шкідливий код під іменем супроводжуючого, але лише через компрометацію машини», — каже Арасаратнам.

Важче розпізнати шкідливі пакети

Безпека пакетів у сховищах домінувала на панельній сесії з відкритого вихідного коду на форумі Open Source in Finance Forum, який відбувся в листопаді минулого року в Нью-Йорку.

«Це схоже на старі часи браузерів, коли вони були за своєю суттю вразливі. Люди заходили на шкідливий веб-сайт, видаляли бекдор, а потім казали: «Ого, це не той сайт», — сказав під час панельної дискусії Браян Фокс, співзасновник і головний технічний директор Sonatype.

«Ми відстежуємо понад 250,000 XNUMX компонентів, які були навмисно шкідливими», — сказав Фокс.

ІТ-відділи починають боротися зі шкідливим кодом і пакетами, які маскуються під код з відкритим вихідним кодом, сказала Енн Баррон-ДіКамілло, керуючий директор і глобальний керівник кібероперацій Citi, на конференції OSFF кілька місяців тому.

«Якщо говорити про шкідливі пакети за останній рік, ми побачили удвічі більше, ніж за попередні роки. Це стає реальністю, пов’язаною з нашою спільнотою розробників», – сказав Баррон-ДіКамілло.

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
• PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
• ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
• PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
• джерело: https://www.darkreading.com/application-security/untitled