OpenSSF stellt bahnbrechendes Repository für Schadpakete für die Sicherheit von Open-Source-Software vor

Im Rahmen einer Initiative zur Verbesserung der Sicherheit von Open-Source-Software hat die Open Source Security Foundation (OpenSSF) ein einzigartiges Repository vorgestellt, das als zentrale Drehscheibe für die Zusammenstellung von Berichten über Schadpakete dient. Das durch und durch innovative Repository soll die Art und Weise, wie bösartige Open-Source-Software bekämpft wird, revolutionieren.

Historisch gesehen war der Umgang mit bösartigen Paketen immer ein unterschiedlicher Ansatz, wobei jedes Open-Source-Paket-Repository seine eigene einzigartige Methode zum Umgang mit diesen Cyberbedrohungen hatte. Wenn die Community ein bösartiges Paket meldet, verwendet das Sicherheitsteam des Repositorys in der Regel ein Standardprotokoll, um das Paket zusammen mit den zugehörigen Metadaten aus dem System zu löschen. Allerdings fanden diese Umzüge oft hinter verschlossenen Türen statt, sodass keine öffentlichen Aufzeichnungen zurückblieben.

Caleb Brown, ein leitender Software-Ingenieur im Open-Source-Sicherheitsteam von Google, und Jossef Harush Kadouri, Leiter der Software-Supply-Chain-Sicherheit bei Checkmarx, kommentierten dies in einem Blog und erklärten, dass die Identifizierung der Existenz bösartiger Pakete immer eine kolossale Aufgabe sei, die unzählige durchkämme öffentliche Quellen oder die Nutzung proprietärer Threat-Intelligence-Feeds. Sie erklärten, dass das neue Repository als öffentliche Datenbank zum Hosten dieser Berichte fungieren würde.

OpenSSF geht davon aus, dass dieses öffentliche Repository eine entscheidende Rolle dabei spielt, das Fortschreiten bösartiger Abhängigkeiten durch CI/CD-Pipelines zu verhindern, Erkennungs-Engines zu verbessern, die Nutzung in Umgebungen einzuschränken oder die Reaktion auf Vorfälle zu beschleunigen. Die im Repository enthaltenen unschätzbar wertvollen Informationen würden die Sicherheit von Open-Source-Software erheblich verbessern.

Bemerkenswert ist, dass die gespeicherten Berichte dem Open Source Vulnerability (OSV)-Format folgen, was ihre Verwendung mit Tools wie der osv.dev-API, dem osv-scanner-Tool und deps.dev erheblich vereinfacht.

Bei der Datenbeschaffung verlässt sich das Projekt stark auf Checkmarx-Sicherheit, von GitHub verfolgte Exporte bösartiger Pakete und das Paketanalyseprojekt. Das Paketanalyseprojekt untersucht speziell Verhaltensweisen wie die von den Paketen aufgerufenen Dateien, verbundene Adressen und Ausführungsbefehle, um bösartige Aktivitäten zu erkennen. Neben der Identifizierung von Malware überwacht es auch Verhaltensänderungen im Laufe der Zeit und markiert so potenziell schädliche Pakete, die zu einem späteren Zeitpunkt möglicherweise bösartig geworden sind.

Plattformen wie AppMaster legen großen Wert auf Sicherheit während des Anwendungserstellungsprozesses. Während das neu eingeführte Repository „Malicious Packages“ in erster Linie auf die Sicherheit von Open-Source-Software abzielt, stärkt es indirekt auch das Engagement von AppMaster, sichere no-code Lösungen für die Entwicklung mobiler, Web- und Backend-Anwendungen bereitzustellen.