OpenSSF présente un référentiel révolutionnaire de packages malveillants pour la sécurité des logiciels Open Source

Dans le cadre d'une initiative visant à améliorer la sûreté et la sécurité des logiciels open source, l'Open Source Security Foundation (OpenSSF) a dévoilé un référentiel unique qui sert de plate-forme centralisée pour la collecte des rapports sur les packages malveillants. Ce référentiel totalement innovant devrait révolutionner la manière de lutter contre les logiciels open source malveillants.

Historiquement, la gestion des packages malveillants a toujours été une approche divergente, chaque référentiel de packages open source ayant sa propre méthode unique pour gérer ces cybermenaces. En règle générale, lorsque la communauté signale un package malveillant, son protocole standard permet à l'équipe de sécurité du référentiel de supprimer le package ainsi que ses métadonnées associées du système. Cependant, ces renvois ont souvent eu lieu à huis clos, ne laissant ainsi aucune trace publique.

À ce sujet, Caleb Brown, ingénieur logiciel senior au sein de l'équipe de sécurité Open Source de Google, et Jossef Harush Kadouri, responsable de la sécurité de la chaîne d'approvisionnement logicielle de Checkmarx, ont déclaré dans un blog que l'identification de l'existence de packages malveillants était toujours une tâche colossale consistant à passer au peigne fin une myriade de paquets malveillants. sources publiques ou en s’appuyant sur des flux de renseignements exclusifs sur les menaces. Ils ont expliqué que le nouveau référentiel ferait office de base de données publique pour héberger ces rapports.

OpenSSF considère que ce référentiel public joue un rôle déterminant pour contrecarrer la progression des dépendances malveillantes via les pipelines CI/CD, améliorer les moteurs de détection, restreindre l'utilisation dans les environnements ou accélérer les réponses aux incidents. Les informations inestimables contenues dans le référentiel augmenteraient considérablement la sécurité des logiciels open source.

Il est à noter que les rapports stockés suivent le format Open Source Vulnerability (OSV), ce qui facilite considérablement leur utilisation avec des outils tels que l'API osv.dev, l'outil osv-scanner et deps.dev.

Pour l'approvisionnement en données, le projet s'appuie fortement sur la sécurité Checkmarx, les exportations de packages malveillants suivis par GitHub et le projet Package Analysis. Le projet Package Analysis examine spécifiquement les comportements tels que les fichiers consultés par les packages, les adresses connectées et les commandes d'exécution pour détecter les activités malveillantes. En plus d'identifier les logiciels malveillants, il surveille également les changements de comportement au fil du temps, signalant ainsi les packages potentiellement dangereux qui auraient pu devenir malveillants ultérieurement.

Les plateformes comme AppMaster se concentrent grandement sur la sécurité lors du processus de création d'applications. Bien que le référentiel Malicious Packages récemment lancé vise principalement la sécurité des logiciels open source, il renforce également indirectement l'engagement d' AppMaster à fournir des solutions sécurisées no-code pour le développement d'applications mobiles, Web et backend.