Cách đảm bảo các gói nguồn mở không phải là của tôi

Cách đảm bảo các gói nguồn mở không phải là của tôi

Dấu thời gian: Ngày 7 tháng 2024 năm 10 00:XNUMX CH
Cách đảm bảo các gói nguồn mở không phải là mỏ PlatoBlockchain Data Intelligence. Tìm kiếm dọc. Ái.

Các kho lưu trữ nguồn mở rất quan trọng để chạy và viết các ứng dụng hiện đại, nhưng hãy cẩn thận – sự bất cẩn có thể kích nổ mìn và tạo ra các cửa hậu cũng như lỗ hổng trong cơ sở hạ tầng phần mềm. Bộ phận CNTT và người bảo trì dự án cần đánh giá khả năng bảo mật của dự án để đảm bảo mã độc không được tích hợp vào ứng dụng.

Khung bảo mật mới từ Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA) và Tổ chức bảo mật nguồn mở (OpenSSF) khuyến nghị các biện pháp kiểm soát như bật xác thực đa yếu tố cho người duy trì dự án, khả năng báo cáo bảo mật của bên thứ ba và cảnh báo về các gói đã lỗi thời hoặc không an toàn để giúp giảm khả năng tiếp xúc với mã độc hại và các gói giả dạng mã nguồn mở trên các kho lưu trữ công cộng.

Omkhar Arasaratnam, tổng giám đốc của OpenSSF cho biết: “Cộng đồng nguồn mở tập hợp xung quanh các lỗ tưới nước này để lấy các gói này. Chúng phải - từ góc độ cơ sở hạ tầng - an toàn”.

Nơi có thể tìm thấy mã xấu

Những lỗ hổng đó bao gồm Github, nơi lưu trữ toàn bộ chương trình, công cụ lập trình hoặc API kết nối phần mềm với các dịch vụ trực tuyến. Các kho lưu trữ khác bao gồm PyPI, nơi lưu trữ các gói Python; NPM, là kho lưu trữ JavaScript; và Maven Central, là kho lưu trữ Java. Mã được viết bằng Python, Rust và các ngôn ngữ lập trình khác tải xuống thư viện từ nhiều kho lưu trữ gói.

Các nhà phát triển có thể vô tình bị lừa lấy phần mềm độc hại có thể được đưa vào trình quản lý gói, điều này có thể cho phép tin tặc truy cập vào hệ thống. Các chương trình được viết bằng các ngôn ngữ như Python và Rust có thể chứa phần mềm độc hại nếu nhà phát triển liên kết tới URL sai.

Các hướng dẫn trong “Nguyên tắc bảo mật kho lưu trữ gói” được xây dựng dựa trên các nỗ lực bảo mật đã được các kho lưu trữ áp dụng. Quỹ phần mềm Python năm ngoái Sigstore đã thông qua, đảm bảo tính toàn vẹn và nguồn gốc của các gói có trong PyPI của nó và các kho lưu trữ khác.

Arasaratnam cho biết, tính bảo mật trên các kho lưu trữ không quá tệ nhưng lại không nhất quán.

Arasaratnam nói: “Phần đầu tiên là tập hợp một số phần phổ biến hơn… và quan trọng trong cộng đồng và bắt đầu thiết lập một bộ kiểm soát có thể được sử dụng phổ biến trên chúng”.

Các nguyên tắc được nêu trong Nguyên tắc bảo mật kho lưu trữ gói của CISA có thể ngăn ngừa các sự cố như đặt tên, trong đó các nhà phát triển có thể tải xuống các gói độc hại do nhập sai tên tệp hoặc URL.

Arasaratnam nói: “Bạn có thể vô tình khởi động một phiên bản độc hại của gói hoặc đó có thể là trường hợp ai đó đã tải lên mã độc hại dưới danh tính của người bảo trì nhưng chỉ do sự xâm phạm của máy”.

Khó nhận biết các gói độc hại hơn

Tính bảo mật của các gói trên các kho đã thống trị một phiên thảo luận về bảo mật nguồn mở tại Diễn đàn Tài chính Nguồn Mở được tổ chức vào tháng 11 năm ngoái tại New York.

“Nó giống như các trình duyệt ngày xưa khi chúng vốn dễ bị tổn thương. Mọi người sẽ truy cập một trang web độc hại, nhận được một cửa sau và sau đó nói 'ôi, đây không phải là trang web đó', Brian Fox, đồng sáng lập và giám đốc công nghệ tại Sonatype, cho biết trong cuộc thảo luận.

Fox cho biết: “Chúng tôi đang theo dõi hơn 250,000 thành phần cố ý độc hại.

Ann Barron-DiCamillo, giám đốc điều hành và người đứng đầu toàn cầu về hoạt động mạng tại Citi, tại hội nghị OSFF vài tháng trước cho biết, các bộ phận CNTT đang phải đối mặt với mã độc hại và các gói giả dạng mã nguồn mở.

“Nói về các gói độc hại trong năm qua, chúng tôi nhận thấy sự gia tăng gấp đôi so với những năm trước. Điều này đang trở thành hiện thực gắn liền với cộng đồng phát triển của chúng tôi,” Barron-DiCamillo nói.

Dấu thời gian:

Thêm từ Đọc tối