Τα αποθετήρια ανοιχτού κώδικα είναι ζωτικής σημασίας για την εκτέλεση και τη σύνταξη σύγχρονων εφαρμογών, αλλά προσοχή - η απροσεξία μπορεί να πυροδοτήσει νάρκες και να προκαλέσει κερκόπορτες και ευπάθειες στις υποδομές λογισμικού. Τα τμήματα πληροφορικής και οι συντηρητές έργων πρέπει να αξιολογήσουν τις δυνατότητες ασφαλείας ενός έργου για να διασφαλίσουν ότι ο κακόβουλος κώδικας δεν ενσωματώνεται στην εφαρμογή.
Ένα νέο πλαίσιο ασφαλείας από την Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομής (CISA) και το Ίδρυμα Ανοικτού Κώδικα Ασφάλειας (OpenSSF) συνιστά την ενεργοποίηση του ελέγχου ταυτότητας πολλαπλών παραγόντων για τους συντηρητές έργων, τις δυνατότητες αναφοράς ασφάλειας τρίτων και τις προειδοποιήσεις για παλιά ή ανασφαλή πακέτα, μεταξύ άλλων ελέγχων, συμβάλλουν στη μείωση της έκθεσης σε κακόβουλο κώδικα και πακέτα που μεταμφιέζονται σε κώδικα ανοιχτού κώδικα σε δημόσια αποθετήρια.
«Η κοινότητα ανοιχτού κώδικα συγκεντρώνεται γύρω από αυτές τις τρύπες για να φέρει αυτά τα πακέτα. Πρέπει να είναι —από την άποψη της υποδομής— ασφαλή», λέει ο Omkhar Arasaratnam, γενικός διευθυντής του OpenSSF.
Πού μπορεί να βρεθεί κακός κώδικας
Αυτές οι τρύπες ποτίσματος περιλαμβάνουν το GitHub, το οποίο φιλοξενεί ολόκληρα προγράμματα, εργαλεία προγραμματισμού και API που συνδέουν λογισμικό με διαδικτυακές υπηρεσίες. Άλλα αποθετήρια περιλαμβάνουν το PyPI, το οποίο φιλοξενεί πακέτα Python. NPM, το οποίο είναι ένα αποθετήριο JavaScript. και Maven Central, που είναι αποθετήριο Java. Κώδικας γραμμένος σε Python, Rust και άλλες γλώσσες προγραμματισμού κατεβάζει βιβλιοθήκες από πολλαπλά αποθετήρια πακέτων.
Οι προγραμματιστές θα μπορούσαν άθελά τους να εξαπατηθούν για να τραβήξουν κακόβουλο λογισμικό που θα μπορούσε να εισαχθεί στους διαχειριστές πακέτων, το οποίο θα μπορούσε να δώσει στους χάκερ πρόσβαση στα συστήματα. Προγράμματα γραμμένα σε γλώσσες όπως η Python και η Rust θα μπορούσαν να περιλαμβάνουν κακόβουλο λογισμικό εάν οι προγραμματιστές συνδεθούν με λάθος URL.
Οι κατευθυντήριες γραμμές που ορίζονται στις «Αρχές για την ασφάλεια του αποθετηρίου πακέτων» του CISA και του OpenSSF βασίζονται σε προσπάθειες ασφάλειας που έχουν ήδη υιοθετηθεί από τα αποθετήρια. Το Python Software Foundation πέρυσι υιοθέτησε το Sigstore, το οποίο διασφαλίζει την ακεραιότητα και την προέλευση των πακέτων που περιέχονται στο PyPI και σε άλλα αποθετήρια.
Η ασφάλεια στα αποθετήρια δεν είναι πολύ κακή, αλλά είναι ασυνεπής, λέει ο Arasaratnam.
«Το πρώτο μέρος είναι να συγκεντρώσουμε μερικά από τα πιο δημοφιλή… και σημαντικά μέσα στην κοινότητα και να αρχίσουμε να δημιουργούμε ένα σύνολο από ένα σύνολο ελέγχων που θα μπορούσαν να χρησιμοποιηθούν καθολικά σε αυτά», λέει ο Arasaratnam.
Οι νέες οδηγίες θα μπορούσαν να αποτρέψουν περιστατικά όπως το namesquatting, όπου γίνεται λήψη κακόβουλων πακέτων από προγραμματιστές που πληκτρολογούν λάθος όνομα αρχείου ή διεύθυνση URL.
"Μπορεί να εκκινήσετε κατά λάθος μια κακόβουλη έκδοση του πακέτου ή θα μπορούσε να είναι ένα σενάριο όπου κάποιος έχει ανεβάσει κακόβουλο κώδικα με την ταυτότητα του συντηρητή, αλλά μόνο λόγω παραβίασης του μηχανήματος", λέει ο Arasaratnam.
Πιο δύσκολο να αναγνωρίσεις κακόβουλα πακέτα
Η ασφάλεια των πακέτων στα αποθετήρια κυριάρχησε σε μια συνάντηση πάνελ σχετικά με την ασφάλεια ανοιχτού κώδικα στο Open Source in Finance Forum (OSFF) στη Νέα Υόρκη τον περασμένο Νοέμβριο.
«Είναι σαν τις παλιές εποχές των προγραμμάτων περιήγησης όταν ήταν εγγενώς ευάλωτα. Οι άνθρωποι πήγαιναν σε έναν κακόβουλο ιστότοπο, έπεφταν μια κερκόπορτα και μετά έλεγαν «Ουάου, δεν είναι αυτός ο ιστότοπος», είπε ο Brian Fox, συνιδρυτής και επικεφαλής τεχνολογίας στη Sonatype, κατά τη διάρκεια της συζήτησης. «Παρακολουθούμε πάνω από 250,000 στοιχεία που ήταν σκόπιμα κακόβουλα».
Τα τμήματα Πληροφορικής έρχονται να αντιμετωπίσουν τον κακόβουλο κώδικα και τα πακέτα που μεταμφιέζονται σε κώδικα ανοιχτού κώδικα, δήλωσε η Ann Barron-DiCamillo, διευθύνουσα σύμβουλος και παγκόσμια επικεφαλής επιχειρήσεων στον κυβερνοχώρο της Citi, στο συνέδριο OSFF.
«Μιλώντας για κακόβουλα πακέτα τον τελευταίο χρόνο, έχουμε δει διπλή αύξηση σε σχέση με τα προηγούμενα χρόνια», είπε. "Αυτό γίνεται πραγματικότητα που σχετίζεται με την αναπτυξιακή μας κοινότητα."
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
- PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
- PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
- πηγή: https://www.darkreading.com/application-security/how-to-ensure-open-source-pckages-are-not-landmines
