Open-source repositories are critical to running and writing modern applications, but beware – carelessness could detonate mines and inject backdoors and vulnerabilities in software infrastructures. IT departments and project maintainers need to assess a project’s security capabilities to ensure malicious code is not being incorporated into the application.
A new security framework from the Cybersecurity and Infrastructure Security Agency (CISA) and Open Source Security Foundation (OpenSSF) recommends controls such as enabling multi-factor authentication for project maintainers, third-party security reporting capabilities, and warnings for outdated or insecure packages to help reduce exposure to malicious code and packages masquerading as open-source code on public repositories.
“The open-source community gathers around these watering holes in order to fetch these packages, they have to be — from an infrastructure perspective — secure,” says Omkhar Arasaratnam, general manager of OpenSSF.
Де можна знайти поганий код
Those watering holes include Github, which hosts entire programs, programming tools, or APIs that connect software to online services. Other repositories include PyPI, which hosts Python packages; NPM, which is a JavaScript repository; and Maven Central, which is a Java repository. Code written in Python, Rust and other programming languages download libraries from multiple package repositories.
Розробників можуть ненавмисно обманом змусити завантажити шкідливе програмне забезпечення, яке можна впровадити в менеджери пакунків, що може надати хакерам доступ до систем. Програми, написані такими мовами, як Python і Rust, можуть містити зловмисне програмне забезпечення, якщо розробники посилаються на неправильну URL-адресу.
The guidelines in the “Principles for Package Repository Security” build on security efforts already adopted by repositories. The Python Software Foundation last year прийнятий Sigstore, що забезпечує цілісність і походження пакетів, які містяться в його PyPI та інших сховищах.
За словами Арасаратнама, безпека в сховищах не дуже погана, але вона суперечлива.
«Перша частина полягає в тому, щоб зібрати деякі з найбільш популярних… і значущих у спільноті та почати створювати набір набору елементів керування, які можна було б використовувати повсюдно», — говорить Арасаратнам.
The guidelines laid out in CISA’s Principles for Package Repository Security could prevent incidents such as namesquatting, where malicious packages could be downloaded by developers mistyping the wrong file name or URL.
«Ви можете випадково завантажити шкідливу версію пакета, або це може бути сценарій, коли хтось завантажив шкідливий код під іменем супроводжуючого, але лише через компрометацію машини», — каже Арасаратнам.
Важче розпізнати шкідливі пакети
The security of packages on repositories dominated a panel session of open-source security at the Open Source in Finance Forum held in November last year in New York.
“It is like the old days of browsers when they were inherently vulnerable. People would go to a malicious website, get a backdoor dropped, and then go ‘whoa, this isn’t the site,” said Brian Fox, co-founder and chief technology officer at Sonatype, during the panel discussion.
“We’re tracking well over 250,000 components that were intentionally malicious,” Fox said.
IT departments are coming to grips with the malicious code and packages masquerading as open-source code, said Ann Barron-DiCamillo, managing director and global head of cyber operations at Citi, at the OSFF conference a few months ago.
“Talking about malicious packages over the last year, we have seen a twofold increase over previous years. This is becoming a reality associated with our development community,” Barron-DiCamillo said.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- джерело: https://www.darkreading.com/application-security/untitled
- : має
- :є
- : ні
- :де
- $UP
- 000
- 250
- 7
- a
- МЕНЮ
- доступ
- випадково
- через
- прийнята
- агентство
- назад
- вже
- an
- та
- та інфраструктури
- Енн
- Інтерфейси
- додаток
- застосування
- ЕСТЬ
- навколо
- AS
- оцінити
- асоційований
- At
- Authentication
- закулісний
- бекдори
- поганий
- BE
- становлення
- буття
- Остерігатися
- Брайан
- браузери
- будувати
- але
- by
- CAN
- можливості
- центральний
- головний
- Головний технічний директор
- Citi
- Співзасновник
- код
- майбутній
- співтовариство
- Компоненти
- компроміс
- конференція
- З'єднуватися
- містяться
- управління
- може
- критичний
- кібер-
- Кібербезпека
- Днів
- відомства
- розробників
- розробка
- Директор
- обговорення
- домінують
- скачати
- впав
- два
- під час
- зусилля
- дозволяє
- забезпечувати
- гарантує
- Весь
- встановити
- експонування
- кілька
- філе
- фінансування
- Перший
- для
- форум
- знайдений
- фонд
- лисиця
- Рамки
- від
- збирати
- Загальне
- отримати
- GitHub
- Давати
- Глобальний
- Go
- ручки
- керівні вказівки
- хакери
- важче
- Мати
- голова
- Герой
- допомога
- Отвори
- хостів
- Як
- How To
- HTTPS
- Особистість
- if
- in
- включати
- Зареєстрований
- Augmenter
- Інфраструктура
- інфраструктура
- за своєю суттю
- вводити
- небезпечно
- цілісність
- навмисно
- в
- isn
- IT
- ЙОГО
- Java
- JavaScript
- JPG
- закладені
- мови
- останній
- Минулого року
- libraries
- як
- LINK
- машина
- malicious
- менеджер
- Менеджери
- управління
- Директор
- Maven
- Може..
- міни
- сучасний
- місяців
- більше
- множинний
- ім'я
- Необхідність
- Нові
- Нью-Йорк
- Листопад
- of
- Офіцер
- Старий
- on
- ті,
- онлайн
- тільки
- відкрити
- з відкритим вихідним кодом
- відкритий код
- операції
- or
- порядок
- Інше
- наші
- з
- застарілий
- над
- пакет
- пакети
- панель
- дискусія
- частина
- Люди
- перспектива
- plato
- Інформація про дані Платона
- PlatoData
- популярний
- запобігати
- попередній
- Принципи
- Програмування
- мови програмування
- програми
- проект
- походження
- громадськість
- тягне
- Python
- RE
- Реальність
- визнавати
- рекомендує
- зменшити
- Звітність
- Сховище
- біг
- Іржа
- s
- Зазначений
- говорить
- сценарій
- безпечний
- безпеку
- бачив
- Послуги
- Сесія
- комплект
- значний
- сайт
- Софтвер
- деякі
- Source
- старт
- такі
- Systems
- Технологія
- Що
- Команда
- Їх
- потім
- Ці
- вони
- третя сторона
- це
- до
- інструменти
- Відстеження
- обманом
- при
- універсально
- завантажено
- URL
- використовуваний
- версія
- Уразливості
- Вразливий
- we
- веб-сайт
- ДОБРЕ
- були
- коли
- який
- з
- в
- б
- лист
- письмовий
- Неправильно
- рік
- років
- йорк
- Ти
- зефірнет