اوپن سورس ریپوزٹریز جدید ایپلی کیشنز کو چلانے اور لکھنے کے لیے اہم ہیں، لیکن ہوشیار رہیں - لاپرواہی بارودی سرنگوں میں دھماکہ کر سکتی ہے اور سافٹ ویئر کے بنیادی ڈھانچے میں بیک ڈور اور کمزوریوں کو انجیکشن کر سکتی ہے۔ آئی ٹی ڈیپارٹمنٹس اور پروجیکٹ مینٹینرز کو پروجیکٹ کی حفاظتی صلاحیتوں کا جائزہ لینے کی ضرورت ہے تاکہ یہ یقینی بنایا جا سکے کہ ایپلی کیشن میں بدنیتی پر مبنی کوڈ شامل نہیں کیا جا رہا ہے۔
سائبرسیکیوریٹی اینڈ انفراسٹرکچر سیکیورٹی ایجنسی (CISA) اور اوپن سورس سیکیورٹی فاؤنڈیشن (اوپن ایس ایس ایف) کا ایک نیا سیکیورٹی فریم ورک ایسے کنٹرولوں کی سفارش کرتا ہے جیسے پروجیکٹ مینٹینرز کے لیے ملٹی فیکٹر تصدیق کو فعال کرنا، فریق ثالث سیکیورٹی رپورٹنگ کی صلاحیتیں، اور پرانے یا غیر محفوظ پیکجوں کے لیے انتباہ۔ عوامی ذخیروں پر اوپن سورس کوڈ کے طور پر نقاب پوش کوڈ اور پیکجوں کی نمائش کو کم کرنے میں مدد کریں۔
اوپن ایس ایس ایف کے جنرل مینیجر، اومکھار آراسارتنم کہتے ہیں، "اوپن سورس کمیونٹی ان پیکجوں کو حاصل کرنے کے لیے پانی کے ان سوراخوں کے گرد جمع ہوتی ہے، انہیں - بنیادی ڈھانچے کے نقطہ نظر سے - محفوظ ہونا چاہیے۔"
جہاں برا کوڈ مل سکتا ہے۔
پانی دینے والے سوراخوں میں گیتھب شامل ہے، جو پورے پروگراموں، پروگرامنگ ٹولز، یا APIs کی میزبانی کرتا ہے جو سافٹ ویئر کو آن لائن خدمات سے مربوط کرتے ہیں۔ دیگر ذخیروں میں PyPI شامل ہے، جو Python پیکجوں کی میزبانی کرتا ہے۔ NPM، جو جاوا اسکرپٹ کا ذخیرہ ہے۔ اور ماون سینٹرل، جو جاوا کا ذخیرہ ہے۔ Python، Rust اور دیگر پروگرامنگ زبانوں میں لکھا ہوا کوڈ متعدد پیکیج ریپوزٹریوں سے لائبریریوں کو ڈاؤن لوڈ کرتا ہے۔
ڈویلپرز کو غیر ارادی طور پر نقصان دہ سافٹ ویئر کو کھینچنے کے لیے دھوکہ دیا جا سکتا ہے جو پیکیج مینیجرز میں انجکشن لگایا جا سکتا ہے، جو ہیکرز کو سسٹم تک رسائی دے سکتا ہے۔ Python اور Rust جیسی زبانوں میں لکھے گئے پروگراموں میں نقصان دہ سافٹ ویئر شامل ہو سکتا ہے اگر ڈویلپرز غلط URL سے لنک کرتے ہیں۔
"پیکیج ریپوزٹری سیکیورٹی کے اصول" میں رہنما خطوط پہلے سے ہی ذخیرہ خانوں کے ذریعہ اختیار کردہ حفاظتی کوششوں پر استوار ہیں۔ پائیتھن سافٹ ویئر فاؤنڈیشن پچھلے سال سگ اسٹور کو اپنایا، جو پیکجوں کی سالمیت اور اصل کو یقینی بناتا ہے جو اس کے PyPI اور دیگر ذخیروں میں موجود ہیں۔
آراسارتنم کا کہنا ہے کہ ریپوزٹریوں میں سیکیورٹی انتہائی خراب نہیں ہے، لیکن یہ متضاد ہے۔
"پہلا حصہ کمیونٹی کے اندر کچھ زیادہ مقبول … اور اہم لوگوں کو اکٹھا کرنا ہے اور کنٹرولز کے ایک سیٹ کو قائم کرنا شروع کرنا ہے جو ان میں عالمی طور پر استعمال کیا جا سکتا ہے،" آراسارتنم کہتے ہیں۔
پیکیج ریپوزٹری سیکیورٹی کے لیے CISA کے اصولوں میں بیان کردہ رہنما خطوط ناموں کی ترتیب جیسے واقعات کو روک سکتے ہیں، جہاں غلط فائل کا نام یا URL غلط ٹائپ کرنے والے ڈویلپرز کے ذریعے نقصان دہ پیکجز ڈاؤن لوڈ کیے جا سکتے ہیں۔
"آپ غلطی سے پیکج کے ایک بدنیتی پر مبنی ورژن کو بوٹ کر سکتے ہیں، یا یہ ایک ایسا منظر نامہ ہو سکتا ہے جہاں کسی نے کوڈ اپ لوڈ کیا ہو جو مینٹینر کی شناخت کے تحت بدنیتی پر مبنی ہو لیکن صرف مشین سے سمجھوتہ کرنے کی وجہ سے،" اراسارتنم کہتے ہیں۔
بدنیتی پر مبنی پیکیجز کو پہچاننا مشکل ہے۔
پچھلے سال نومبر میں نیویارک میں منعقدہ اوپن سورس ان فنانس فورم میں اوپن سورس سیکیورٹی کے پینل سیشن میں ریپوزٹریز پر پیکجز کی سیکیورٹی کا غلبہ رہا۔
"یہ براؤزر کے پرانے دنوں کی طرح ہے جب وہ فطری طور پر کمزور تھے۔ پینل ڈسکشن کے دوران، سوناٹائپ کے شریک بانی اور چیف ٹیکنالوجی آفیسر برائن فاکس نے کہا کہ لوگ ایک بدنیتی پر مبنی ویب سائٹ پر جائیں گے، بیک ڈور ڈراپ کریں گے، اور پھر جائیں گے 'واہ، یہ سائٹ نہیں ہے۔
فاکس نے کہا کہ "ہم 250,000 سے زیادہ اجزاء کو اچھی طرح سے ٹریک کر رہے ہیں جو جان بوجھ کر بدنیتی پر مبنی تھے۔"
چند ماہ قبل OSFF کانفرنس میں Citi کے منیجنگ ڈائریکٹر اور سائبر آپریشنز کے عالمی سربراہ این بیرن-ڈی کامیلو نے کہا کہ IT کے محکمے بدنیتی پر مبنی کوڈ اور پیکجز کو اوپن سورس کوڈ کے طور پر چھپا رہے ہیں۔
"گزشتہ سال کے دوران بدنیتی پر مبنی پیکجوں کے بارے میں بات کرتے ہوئے، ہم نے پچھلے سالوں کے مقابلے میں دو گنا اضافہ دیکھا ہے۔ یہ ہماری ترقیاتی برادری سے وابستہ ایک حقیقت بنتا جا رہا ہے،" بیرن-ڈی کیملو نے کہا۔
- SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
- پلیٹو ڈیٹا ڈاٹ نیٹ ورک ورٹیکل جنریٹو اے آئی۔ اپنے آپ کو بااختیار بنائیں۔ یہاں تک رسائی حاصل کریں۔
- پلیٹوآئ اسٹریم۔ ویب 3 انٹیلی جنس۔ علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
- پلیٹو ای ایس جی۔ کاربن، کلین ٹیک، توانائی ، ماحولیات، شمسی، ویسٹ مینجمنٹ یہاں تک رسائی حاصل کریں۔
- پلیٹو ہیلتھ۔ بائیوٹیک اینڈ کلینیکل ٹرائلز انٹیلی جنس۔ یہاں تک رسائی حاصل کریں۔
- ماخذ: https://www.darkreading.com/application-security/untitled
- : ہے
- : ہے
- : نہیں
- :کہاں
- $UP
- 000
- 250
- 7
- a
- ہمارے بارے میں
- تک رسائی حاصل
- اتفاقی طور پر
- کے پار
- اپنایا
- ایجنسی
- پہلے
- پہلے ہی
- an
- اور
- اور بنیادی ڈھانچہ
- ANN
- APIs
- درخواست
- ایپلی کیشنز
- کیا
- ارد گرد
- AS
- تشخیص کریں
- منسلک
- At
- کی توثیق
- پچھلے دروازے
- گھر کے دروازے
- برا
- BE
- بننے
- کیا جا رہا ہے
- بچو
- برائن
- براؤزر
- تعمیر
- لیکن
- by
- کر سکتے ہیں
- صلاحیتوں
- مرکزی
- چیف
- چیف ٹیکنالوجی افسر
- سٹی
- شریک بانی
- کوڈ
- آنے والے
- کمیونٹی
- اجزاء
- سمجھوتہ
- کانفرنس
- رابطہ قائم کریں
- پر مشتمل ہے
- کنٹرول
- سکتا ہے
- اہم
- سائبر
- سائبر سیکیورٹی
- دن
- محکموں
- ڈویلپرز
- ترقی
- ڈائریکٹر
- بحث
- غلبہ
- ڈاؤن لوڈ، اتارنا
- گرا دیا
- دو
- کے دوران
- کوششوں
- کو فعال کرنا
- کو یقینی بنانے کے
- یقینی بناتا ہے
- پوری
- قائم کرو
- نمائش
- چند
- فائل
- کی مالی اعانت
- پہلا
- کے لئے
- فورم
- ملا
- فاؤنڈیشن
- لومڑی
- فریم ورک
- سے
- جمع
- جنرل
- حاصل
- GitHub کے
- دے دو
- گلوبل
- Go
- گرفت
- ہدایات
- ہیکروں
- مشکل
- ہے
- سر
- Held
- مدد
- سوراخ
- میزبان
- کس طرح
- کیسے
- HTTPS
- شناختی
- if
- in
- شامل
- شامل
- اضافہ
- انفراسٹرکچر
- بنیادی ڈھانچہ
- موروثی طور پر
- انجکشن
- غیر محفوظ
- سالمیت
- جان بوجھ کر
- میں
- نہیں
- IT
- میں
- اعلی درجے کا Java
- جاوا سکرپٹ
- فوٹو
- بدسورت
- زبانیں
- آخری
- آخری سال
- لائبریریوں
- کی طرح
- LINK
- مشین
- بدقسمتی سے
- مینیجر
- مینیجر
- مینیجنگ
- منیجنگ ڈائریکٹر
- میون
- مئی..
- بارودی سرنگوں
- جدید
- ماہ
- زیادہ
- ایک سے زیادہ
- نام
- ضرورت ہے
- نئی
- NY
- نومبر
- of
- افسر
- پرانا
- on
- والوں
- آن لائن
- صرف
- کھول
- اوپن سورس
- اوپن سورس کوڈ
- آپریشنز
- or
- حکم
- دیگر
- ہمارے
- باہر
- فرسودہ
- پر
- پیکج
- پیکجوں کے
- پینل
- پینل ڈسکشن
- حصہ
- لوگ
- نقطہ نظر
- پلاٹا
- افلاطون ڈیٹا انٹیلی جنس
- پلیٹو ڈیٹا
- مقبول
- کی روک تھام
- پچھلا
- اصولوں پر
- پروگرامنگ
- پروگرامنگ زبانوں
- پروگرام
- منصوبے
- provenance کے
- عوامی
- ھیںچو
- ازگر
- RE
- حقیقت
- تسلیم
- تجویز ہے
- کو کم
- رپورٹ
- ذخیرہ
- چل رہا ہے
- مورچا
- s
- کہا
- کا کہنا ہے کہ
- منظر نامے
- محفوظ بنانے
- سیکورٹی
- دیکھا
- سروسز
- اجلاس
- مقرر
- اہم
- سائٹ
- سافٹ ویئر کی
- کچھ
- ماخذ
- شروع کریں
- اس طرح
- سسٹمز
- ٹیکنالوجی
- کہ
- ۔
- ان
- تو
- یہ
- وہ
- تیسری پارٹی
- اس
- کرنے کے لئے
- اوزار
- ٹریکنگ
- دھوکہ دہی۔
- کے تحت
- عالمی طور پر
- اپ لوڈ کردہ
- URL
- استعمال کیا جاتا ہے
- ورژن
- نقصان دہ
- قابل اطلاق
- we
- ویب سائٹ
- اچھا ہے
- تھے
- جب
- جس
- ساتھ
- کے اندر
- گا
- تحریری طور پر
- لکھا
- غلط
- سال
- سال
- یارک
- تم
- زیفیرنیٹ