Generatiivinen tiedustelu

Kuinka varmistaa, että avoimen lähdekoodin paketit eivät ole maamiinoja

Treffi:

Avoimen lähdekoodin arkistot ovat kriittisiä nykyaikaisten sovellusten käyttämiselle ja kirjoittamiselle, mutta varokaa – huolimattomuus voi räjäyttää miinoja ja lisätä takaovia ja haavoittuvuuksia ohjelmistoinfrastruktuureihin. IT-osastojen ja projektien ylläpitäjien on arvioitava projektin tietoturvaominaisuudet varmistaakseen, ettei haitallista koodia sisällytetä sovellukseen.

Cybersecurity and Infrastructure Security Agencyn (CISA) ja Open Source Security Foundationin (OpenSSF) uusi tietoturvakehys suosittelee muun muassa monitekijäisen todennuksen mahdollistamista projektin ylläpitäjille, kolmannen osapuolen tietoturvaraportointiominaisuudet ja vanhentuneiden tai turvattomien pakettien varoitukset. auttaa vähentämään altistumista haitalliselle koodille ja avoimeksi lähdekoodiksi naamioituville paketeille julkisissa arkistoissa.

”Avoimen lähdekoodin yhteisö kerääntyy näiden kastelupaikkojen ympärille noutaakseen nämä paketit. Niiden on oltava – infrastruktuurin näkökulmasta – turvallisia”, OpenSSF:n pääjohtaja Omkhar Arasaratnam sanoo.

Mistä huono koodi löytyy

Näitä kastelupaikkoja ovat GitHub, joka isännöi kokonaisia ​​ohjelmia, ohjelmointityökaluja ja sovellusliittymiä, jotka yhdistävät ohjelmistot verkkopalveluihin. Muita tietovarastoja ovat PyPI, joka isännöi Python-paketteja; NPM, joka on JavaScript-arkisto; ja Maven Central, joka on Java-arkisto. Pythonilla, Rustilla ja muilla ohjelmointikielillä kirjoitettu koodi lataa kirjastoja useista pakettivarastoista.

Kehittäjiä voidaan vahingossa huijata vetämään sisään haittaohjelmia, jotka voitaisiin ruiskuttaa paketinhallintaan, mikä voisi antaa hakkereille pääsyn järjestelmiin. Python- ja Rust-kielillä kirjoitetut ohjelmat voivat sisältää haittaohjelmia, jos kehittäjät linkittävät väärään URL-osoitteeseen.

CISA:n ja OpenSSF:n "Principles for Package Repository Security" -periaatteet perustuvat tietovarastojen jo hyväksymiin tietoturvatoimiin. Python Software Foundation viime vuonna adoptoitu Sigstore, joka varmistaa sen PyPI- ja muihin arkistoihin sisältyvien pakettien eheyden ja alkuperän.

Tietovarastojen tietoturva ei ole järjettömän huono, mutta se on epäjohdonmukaista, Arasaratnam sanoo.

"Ensimmäinen osa on kerätä joitakin suosituimmista… ja merkittävimmistä yhteisöstä ja alkaa luoda joukko ohjausobjekteja, joita voitaisiin käyttää kaikkialla", Arasaratnam sanoo.

Uudet ohjeet voisivat estää tapaukset, kuten nimet, joissa kehittäjät lataavat haitallisia paketteja, jotka kirjoittavat väärin tiedostonimen tai URL-osoitteen.

"Voit vahingossa käynnistää paketin haitallisen version, tai se voi olla skenaario, jossa joku on ladannut koodia, joka on haitallista ylläpitäjän identiteetin alla, mutta vain koneen vaarantumisen vuoksi", Arasaratnam sanoo.

Haitallisia paketteja on vaikea tunnistaa

Arkistoissa olevien pakettien turvallisuus hallitsi avoimen lähdekoodin turvallisuutta käsittelevää paneeliistuntoa Open Source in Finance Forumissa (OSFF) New Yorkissa viime marraskuussa.

"Se on kuin vanhaan selaimeen, jolloin ne olivat luonnostaan ​​haavoittuvia. Ihmiset menivät haitalliselle verkkosivustolle, saivat takaoven pois ja sitten sanoivat "Hah, tämä ei ole sivusto", sanoi Brian Fox, Sonatypen toinen perustaja ja teknologiajohtaja paneelikeskustelun aikana. "Seuraamme yli 250,000 XNUMX komponenttia, jotka olivat tarkoituksellisesti haitallisia."

IT-osastot ovat alkaneet tarttua haitalliseen koodiin ja avoimeksi lähdekoodiksi naamioituneisiin paketteihin, sanoi Citin toimitusjohtaja ja globaali kybertoimintojen johtaja Ann Barron-DiCamillo OSFF-konferenssissa.

"Puhumme haitallisista paketeista viime vuoden aikana, olemme nähneet kaksinkertaisen kasvun edellisiin vuosiin verrattuna", hän sanoi. "Tästä on tulossa todellisuutta kehitysyhteisöömme."

spot_img

Uusin älykkyys

spot_img