OpenSSF presenta un innovador repositorio de paquetes maliciosos para la seguridad del software de código abierto

En una iniciativa para mejorar la seguridad del software de código abierto, la Open Source Security Foundation (OpenSSF) ha presentado un repositorio único que sirve como centro centralizado para la recopilación de informes de paquetes maliciosos. Se espera que este repositorio completamente innovador revolucione la forma en que se aborda el software malicioso de código abierto.

Históricamente, lidiar con paquetes maliciosos siempre ha sido un enfoque divergente, y cada repositorio de paquetes de código abierto tiene su propio método único para manejar estas amenazas cibernéticas. Normalmente, cuando la comunidad informa sobre un paquete malicioso, su protocolo estándar es que el equipo de seguridad del repositorio elimine el paquete junto con sus metadatos asociados del sistema. Sin embargo, estas mudanzas a menudo se producían a puerta cerrada, por lo que no quedaban registros públicos.

Al comentar sobre esto, Caleb Brown, ingeniero de software senior del equipo de seguridad de código abierto de Google, y Jossef Harush Kadouri, jefe de seguridad de la cadena de suministro de software de Checkmarx, afirmaron en un blog que identificar la existencia de paquetes maliciosos siempre fue una tarea colosal de búsqueda entre innumerables fuentes públicas o confiar en fuentes de inteligencia de amenazas patentadas. Explicaron que el nuevo repositorio actuaría como una base de datos pública para albergar estos informes.

OpenSSF percibe que este repositorio público es fundamental para frustrar el progreso de dependencias maliciosas a través de canales de CI/CD, mejorar los motores de detección, restringir el uso en entornos o acelerar las respuestas a incidentes. La valiosa información contenida en el repositorio aumentaría sustancialmente la seguridad del software de código abierto.

Cabe destacar que los informes almacenados siguen el formato Open Source Vulnerability (OSV), lo que facilita significativamente su uso con herramientas como osv.dev API, la herramienta osv-scanner y deps.dev.

Para el abastecimiento de datos, el proyecto depende en gran medida de la seguridad de Checkmarx, las exportaciones de paquetes maliciosos rastreados por GitHub y el proyecto Package Analysis. El proyecto Package Analysis examina específicamente comportamientos como los archivos a los que se accede a los paquetes, las direcciones conectadas y la ejecución de comandos para detectar actividades maliciosas. Además de identificar malware, también monitorea los cambios de comportamiento a lo largo del tiempo, señalando así paquetes potencialmente dañinos que podrían haberse vuelto maliciosos en una fecha posterior.

Plataformas como AppMaster se centran en gran medida en la seguridad durante el proceso de creación de la aplicación. Si bien el repositorio Malicious Packages recientemente lanzado tiene como objetivo principal la seguridad del software de código abierto, también refuerza indirectamente el compromiso de AppMaster de proporcionar soluciones seguras no-code para el desarrollo de aplicaciones móviles, web y backend.