یہ کیسے یقینی بنایا جائے کہ اوپن سورس پیکجز میرا نہیں ہیں۔

یہ کیسے یقینی بنایا جائے کہ اوپن سورس پیکجز میرا نہیں ہیں۔

ٹائم سٹیمپ: 7 مارچ 2024 شام 10:00 بجے
یہ کیسے یقینی بنایا جائے کہ اوپن سورس پیکجز مائنز نہیں ہیں PlatoBlockchain ڈیٹا انٹیلی جنس۔ عمودی تلاش۔ عی

اوپن سورس ریپوزٹریز جدید ایپلی کیشنز کو چلانے اور لکھنے کے لیے اہم ہیں، لیکن ہوشیار رہیں - لاپرواہی بارودی سرنگوں میں دھماکہ کر سکتی ہے اور سافٹ ویئر کے بنیادی ڈھانچے میں بیک ڈور اور کمزوریوں کو انجیکشن کر سکتی ہے۔ آئی ٹی ڈیپارٹمنٹس اور پروجیکٹ مینٹینرز کو پروجیکٹ کی حفاظتی صلاحیتوں کا جائزہ لینے کی ضرورت ہے تاکہ یہ یقینی بنایا جا سکے کہ ایپلی کیشن میں بدنیتی پر مبنی کوڈ شامل نہیں کیا جا رہا ہے۔

سائبرسیکیوریٹی اینڈ انفراسٹرکچر سیکیورٹی ایجنسی (CISA) اور اوپن سورس سیکیورٹی فاؤنڈیشن (اوپن ایس ایس ایف) کا ایک نیا سیکیورٹی فریم ورک ایسے کنٹرولوں کی سفارش کرتا ہے جیسے پروجیکٹ مینٹینرز کے لیے ملٹی فیکٹر تصدیق کو فعال کرنا، فریق ثالث سیکیورٹی رپورٹنگ کی صلاحیتیں، اور پرانے یا غیر محفوظ پیکجوں کے لیے انتباہ۔ عوامی ذخیروں پر اوپن سورس کوڈ کے طور پر نقاب پوش کوڈ اور پیکجوں کی نمائش کو کم کرنے میں مدد کریں۔

اوپن ایس ایس ایف کے جنرل مینیجر، اومکھار آراسارتنم کہتے ہیں، "اوپن سورس کمیونٹی ان پیکجوں کو حاصل کرنے کے لیے پانی کے ان سوراخوں کے گرد جمع ہوتی ہے، انہیں - بنیادی ڈھانچے کے نقطہ نظر سے - محفوظ ہونا چاہیے۔"

جہاں برا کوڈ مل سکتا ہے۔

پانی دینے والے سوراخوں میں گیتھب شامل ہے، جو پورے پروگراموں، پروگرامنگ ٹولز، یا APIs کی میزبانی کرتا ہے جو سافٹ ویئر کو آن لائن خدمات سے مربوط کرتے ہیں۔ دیگر ذخیروں میں PyPI شامل ہے، جو Python پیکجوں کی میزبانی کرتا ہے۔ NPM، جو جاوا اسکرپٹ کا ذخیرہ ہے۔ اور ماون سینٹرل، جو جاوا کا ذخیرہ ہے۔ Python، Rust اور دیگر پروگرامنگ زبانوں میں لکھا ہوا کوڈ متعدد پیکیج ریپوزٹریوں سے لائبریریوں کو ڈاؤن لوڈ کرتا ہے۔

ڈویلپرز کو غیر ارادی طور پر نقصان دہ سافٹ ویئر کو کھینچنے کے لیے دھوکہ دیا جا سکتا ہے جو پیکیج مینیجرز میں انجکشن لگایا جا سکتا ہے، جو ہیکرز کو سسٹم تک رسائی دے سکتا ہے۔ Python اور Rust جیسی زبانوں میں لکھے گئے پروگراموں میں نقصان دہ سافٹ ویئر شامل ہو سکتا ہے اگر ڈویلپرز غلط URL سے لنک کرتے ہیں۔

"پیکیج ریپوزٹری سیکیورٹی کے اصول" میں رہنما خطوط پہلے سے ہی ذخیرہ خانوں کے ذریعہ اختیار کردہ حفاظتی کوششوں پر استوار ہیں۔ پائیتھن سافٹ ویئر فاؤنڈیشن پچھلے سال سگ اسٹور کو اپنایا، جو پیکجوں کی سالمیت اور اصل کو یقینی بناتا ہے جو اس کے PyPI اور دیگر ذخیروں میں موجود ہیں۔

آراسارتنم کا کہنا ہے کہ ریپوزٹریوں میں سیکیورٹی انتہائی خراب نہیں ہے، لیکن یہ متضاد ہے۔

"پہلا حصہ کمیونٹی کے اندر کچھ زیادہ مقبول … اور اہم لوگوں کو اکٹھا کرنا ہے اور کنٹرولز کے ایک سیٹ کو قائم کرنا شروع کرنا ہے جو ان میں عالمی طور پر استعمال کیا جا سکتا ہے،" آراسارتنم کہتے ہیں۔

پیکیج ریپوزٹری سیکیورٹی کے لیے CISA کے اصولوں میں بیان کردہ رہنما خطوط ناموں کی ترتیب جیسے واقعات کو روک سکتے ہیں، جہاں غلط فائل کا نام یا URL غلط ٹائپ کرنے والے ڈویلپرز کے ذریعے نقصان دہ پیکجز ڈاؤن لوڈ کیے جا سکتے ہیں۔

"آپ غلطی سے پیکج کے ایک بدنیتی پر مبنی ورژن کو بوٹ کر سکتے ہیں، یا یہ ایک ایسا منظر نامہ ہو سکتا ہے جہاں کسی نے کوڈ اپ لوڈ کیا ہو جو مینٹینر کی شناخت کے تحت بدنیتی پر مبنی ہو لیکن صرف مشین سے سمجھوتہ کرنے کی وجہ سے،" اراسارتنم کہتے ہیں۔

بدنیتی پر مبنی پیکیجز کو پہچاننا مشکل ہے۔

پچھلے سال نومبر میں نیویارک میں منعقدہ اوپن سورس ان فنانس فورم میں اوپن سورس سیکیورٹی کے پینل سیشن میں ریپوزٹریز پر پیکجز کی سیکیورٹی کا غلبہ رہا۔

"یہ براؤزر کے پرانے دنوں کی طرح ہے جب وہ فطری طور پر کمزور تھے۔ پینل ڈسکشن کے دوران، سوناٹائپ کے شریک بانی اور چیف ٹیکنالوجی آفیسر برائن فاکس نے کہا کہ لوگ ایک بدنیتی پر مبنی ویب سائٹ پر جائیں گے، بیک ڈور ڈراپ کریں گے، اور پھر جائیں گے 'واہ، یہ سائٹ نہیں ہے۔

فاکس نے کہا کہ "ہم 250,000 سے زیادہ اجزاء کو اچھی طرح سے ٹریک کر رہے ہیں جو جان بوجھ کر بدنیتی پر مبنی تھے۔"

چند ماہ قبل OSFF کانفرنس میں Citi کے منیجنگ ڈائریکٹر اور سائبر آپریشنز کے عالمی سربراہ این بیرن-ڈی کامیلو نے کہا کہ IT کے محکمے بدنیتی پر مبنی کوڈ اور پیکجز کو اوپن سورس کوڈ کے طور پر چھپا رہے ہیں۔

"گزشتہ سال کے دوران بدنیتی پر مبنی پیکجوں کے بارے میں بات کرتے ہوئے، ہم نے پچھلے سالوں کے مقابلے میں دو گنا اضافہ دیکھا ہے۔ یہ ہماری ترقیاتی برادری سے وابستہ ایک حقیقت بنتا جا رہا ہے،" بیرن-ڈی کیملو نے کہا۔

ٹائم اسٹیمپ:

سے زیادہ گہرا پڑھنا