Як переконатися, що пакети з відкритим вихідним кодом не є шахтою

Open-source repositories are critical to running and writing modern applications, but beware – carelessness could detonate mines and inject backdoors and vulnerabilities in software infrastructures. IT departments and project maintainers need to assess a project’s security capabilities to ensure malicious code is not being incorporated into the application.

A new security framework from the Cybersecurity and Infrastructure Security Agency (CISA) and Open Source Security Foundation (OpenSSF) recommends controls such as enabling multi-factor authentication for project maintainers, third-party security reporting capabilities, and warnings for outdated or insecure packages to help reduce exposure to malicious code and packages masquerading as open-source code on public repositories.

“The open-source community gathers around these watering holes in order to fetch these packages, they have to be — from an infrastructure perspective — secure,” says Omkhar Arasaratnam, general manager of OpenSSF.

Де можна знайти поганий код

Those watering holes include Github, which hosts entire programs, programming tools, or APIs that connect software to online services. Other repositories include PyPI, which hosts Python packages; NPM, which is a JavaScript repository; and Maven Central, which is a Java repository. Code written in Python, Rust and other programming languages download libraries from multiple package repositories.

Розробників можуть ненавмисно обманом змусити завантажити шкідливе програмне забезпечення, яке можна впровадити в менеджери пакунків, що може надати хакерам доступ до систем. Програми, написані такими мовами, як Python і Rust, можуть містити зловмисне програмне забезпечення, якщо розробники посилаються на неправильну URL-адресу.

The guidelines in the “Principles for Package Repository Security” build on security efforts already adopted by repositories. The Python Software Foundation last year прийнятий Sigstore, що забезпечує цілісність і походження пакетів, які містяться в його PyPI та інших сховищах.

За словами Арасаратнама, безпека в сховищах не дуже погана, але вона суперечлива.

«Перша частина полягає в тому, щоб зібрати деякі з найбільш популярних… і значущих у спільноті та почати створювати набір набору елементів керування, які можна було б використовувати повсюдно», — говорить Арасаратнам.

The guidelines laid out in CISA’s Principles for Package Repository Security could prevent incidents such as namesquatting, where malicious packages could be downloaded by developers mistyping the wrong file name or URL.

«Ви можете випадково завантажити шкідливу версію пакета, або це може бути сценарій, коли хтось завантажив шкідливий код під іменем супроводжуючого, але лише через компрометацію машини», — каже Арасаратнам.

Важче розпізнати шкідливі пакети

The security of packages on repositories dominated a panel session of open-source security at the Open Source in Finance Forum held in November last year in New York.

“It is like the old days of browsers when they were inherently vulnerable. People would go to a malicious website, get a backdoor dropped, and then go ‘whoa, this isn’t the site,” said Brian Fox, co-founder and chief technology officer at Sonatype, during the panel discussion.

“We’re tracking well over 250,000 components that were intentionally malicious,” Fox said.

IT departments are coming to grips with the malicious code and packages masquerading as open-source code, said Ann Barron-DiCamillo, managing director and global head of cyber operations at Citi, at the OSFF conference a few months ago.

“Talking about malicious packages over the last year, we have seen a twofold increase over previous years. This is becoming a reality associated with our development community,” Barron-DiCamillo said.

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
• PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
• ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
• PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
• джерело: https://www.darkreading.com/application-security/untitled