OpenSSF ওপেন সোর্স সফ্টওয়্যার নিরাপত্তার জন্য গ্রাউন্ড-ব্রেকিং ক্ষতিকারক প্যাকেজ রিপোজিটরি প্রবর্তন করেছে

ওপেন সোর্স সফ্টওয়্যারের নিরাপত্তা এবং নিরাপত্তা বাড়াতে একটি উদ্যোগে, ওপেন সোর্স সিকিউরিটি ফাউন্ডেশন (ওপেনএসএসএফ) একটি অনন্য ভাণ্ডার উন্মোচন করেছে যা দূষিত প্যাকেজ রিপোর্টের সংকলনের কেন্দ্রীভূত হাব হিসেবে কাজ করে। পুঙ্খানুপুঙ্খভাবে উদ্ভাবনী সংগ্রহস্থলটি দূষিত ওপেন সোর্স সফ্টওয়্যার মোকাবেলা করার পদ্ধতিতে বিপ্লব ঘটাবে বলে আশা করা হচ্ছে।

ঐতিহাসিকভাবে, দূষিত প্যাকেজগুলির সাথে মোকাবিলা করা সর্বদা একটি ভিন্ন পদ্ধতি ছিল, প্রতিটি ওপেন সোর্স প্যাকেজ সংগ্রহস্থলের এই সাইবার হুমকিগুলি পরিচালনা করার নিজস্ব অনন্য পদ্ধতি রয়েছে। সাধারণত, যখন সম্প্রদায় একটি দূষিত প্যাকেজ রিপোর্ট করে, তখন রিপোজিটরির নিরাপত্তা দলের জন্য এটির স্ট্যান্ডার্ড প্রোটোকল সিস্টেম থেকে তার সম্পর্কিত মেটাডেটার পাশাপাশি প্যাকেজটি বের করে দেয়। যাইহোক, এই অপসারণগুলি প্রায়শই বন্ধ দরজার পিছনে ঘটেছিল, যার ফলে কোনও পাবলিক রেকর্ড নেই।

এই বিষয়ে মন্তব্য করতে গিয়ে, গুগলের ওপেন সোর্স সিকিউরিটি টিমের একজন সিনিয়র সফ্টওয়্যার প্রকৌশলী কালেব ব্রাউন এবং চেকমার্কের সফটওয়্যার সাপ্লাই চেইন সিকিউরিটি হেড জোসেফ হারুশ কাদৌরি একটি ব্লগে বলেছেন যে ক্ষতিকারক প্যাকেজের অস্তিত্ব শনাক্ত করা সর্বদাই অগণিত কাজ ছিল। পাবলিক সোর্স বা মালিকানা হুমকি গোয়েন্দা ফিড উপর নির্ভর করে. তারা ব্যাখ্যা করেছে যে নতুন সংগ্রহস্থল এই প্রতিবেদনগুলি হোস্ট করার জন্য একটি পাবলিক ডাটাবেস হিসাবে কাজ করবে।

OpenSSF এই পাবলিক রিপোজিটরিটিকে CI/CD পাইপলাইনের মাধ্যমে দূষিত নির্ভরতার অগ্রগতি ঠেকাতে, সনাক্তকরণ ইঞ্জিনের উন্নতি, পরিবেশে ব্যবহার সীমিত করা বা ঘটনার প্রতিক্রিয়া ত্বরান্বিত করতে সহায়ক বলে মনে করে। ভান্ডারে থাকা অমূল্য তথ্যগুলি ওপেন সোর্স সফ্টওয়্যার সুরক্ষাকে যথেষ্ট পরিমাণে বাড়িয়ে তুলবে৷

এটা লক্ষণীয় যে সংরক্ষিত প্রতিবেদনগুলি ওপেন সোর্স ভালনারেবিলিটি (OSV) ফর্ম্যাট অনুসরণ করে, যা osv.dev API, osv-স্ক্যানার টুল এবং deps.dev-এর মতো টুলগুলির সাহায্যে তাদের ব্যবহার উল্লেখযোগ্যভাবে সহজ করে।

ডেটা সোর্সিংয়ের জন্য, প্রকল্পটি চেকমার্কস নিরাপত্তা, গিটহাব-ট্র্যাক করা দূষিত প্যাকেজ রপ্তানি এবং প্যাকেজ বিশ্লেষণ প্রকল্পের উপর ব্যাপকভাবে নির্ভর করে। প্যাকেজ বিশ্লেষণ প্রকল্পটি বিশেষভাবে প্যাকেজের অ্যাক্সেস করা ফাইল, সংযুক্ত ঠিকানা এবং দূষিত ক্রিয়াকলাপ চিহ্নিত করতে কমান্ড চালানোর মতো আচরণগুলি পরীক্ষা করে। ম্যালওয়্যার শনাক্ত করা ছাড়াও, এটি সময়ের সাথে আচরণের পরিবর্তনগুলিও নিরীক্ষণ করে, যার ফলে সম্ভাব্য ক্ষতিকারক প্যাকেজগুলিকে পতাকাঙ্কিত করে যা পরবর্তী তারিখে দূষিত হতে পারে।

অ্যাপমাস্টারের মতো প্ল্যাটফর্মগুলি অ্যাপ্লিকেশন তৈরির প্রক্রিয়া চলাকালীন নিরাপত্তার উপর ব্যাপকভাবে ফোকাস করে। সদ্য চালু হওয়া ম্যালিসিয়াস প্যাকেজ রিপোজিটরি প্রাথমিকভাবে ওপেন সোর্স সফ্টওয়্যার সুরক্ষার লক্ষ্য রাখে, এটি মোবাইল, ওয়েব এবং ব্যাকএন্ড অ্যাপ্লিকেশন বিকাশের জন্য নিরাপদ no-code সমাধান প্রদানের জন্য AppMaster প্রতিশ্রুতিকে পরোক্ষভাবে শক্তিশালী করে।