ओपन सोर्स सॉफ़्टवेयर की सुरक्षा और सुरक्षा बढ़ाने की पहल में, ओपन सोर्स सिक्योरिटी फाउंडेशन (ओपनएसएसएफ) ने एक अद्वितीय रिपॉजिटरी का अनावरण किया है जो दुर्भावनापूर्ण पैकेज रिपोर्टों के संकलन के लिए एक केंद्रीकृत केंद्र के रूप में कार्य करता है। पूरी तरह से नवोन्मेषी भंडार से दुर्भावनापूर्ण ओपन सोर्स सॉफ़्टवेयर से निपटने के तरीके में क्रांतिकारी बदलाव आने की उम्मीद है।
ऐतिहासिक रूप से, दुर्भावनापूर्ण पैकेजों से निपटना हमेशा एक अलग दृष्टिकोण रहा है, प्रत्येक ओपन सोर्स पैकेज रिपॉजिटरी के पास इन साइबर खतरों से निपटने का अपना अनूठा तरीका है। आमतौर पर, जब समुदाय किसी दुर्भावनापूर्ण पैकेज की रिपोर्ट करता है, तो रिपॉजिटरी की सुरक्षा टीम के लिए इसका मानक प्रोटोकॉल सिस्टम से संबंधित मेटाडेटा के साथ पैकेज को मिटा देता है। हालाँकि, ये निष्कासन अक्सर बंद दरवाजों के पीछे होते थे, जिससे कोई सार्वजनिक रिकॉर्ड नहीं बचता था।
इस पर टिप्पणी करते हुए, Google की ओपन सोर्स सुरक्षा टीम के एक वरिष्ठ सॉफ्टवेयर इंजीनियर कालेब ब्राउन और चेकमार्क्स के सॉफ्टवेयर आपूर्ति श्रृंखला सुरक्षा प्रमुख जोसेफ हारुश कदौरी ने एक ब्लॉग में कहा कि दुर्भावनापूर्ण पैकेजों के अस्तित्व की पहचान करना हमेशा असंख्य से निपटने का एक बड़ा काम था। सार्वजनिक स्रोत या मालिकाना ख़तरे वाली ख़ुफ़िया फ़ीड पर भरोसा करना। उन्होंने बताया कि नया भंडार इन रिपोर्टों को होस्ट करने के लिए एक सार्वजनिक डेटाबेस के रूप में कार्य करेगा।
ओपनएसएसएफ इस सार्वजनिक भंडार को सीआई/सीडी पाइपलाइनों के माध्यम से दुर्भावनापूर्ण निर्भरता की प्रगति को विफल करने, पहचान इंजनों में सुधार करने, वातावरण में उपयोग को प्रतिबंधित करने या घटना प्रतिक्रियाओं में तेजी लाने में महत्वपूर्ण भूमिका निभाता है। भंडार में मौजूद अमूल्य जानकारी ओपन सोर्स सॉफ़्टवेयर सुरक्षा में काफी वृद्धि करेगी।
यह उल्लेखनीय है कि संग्रहीत रिपोर्ट ओपन सोर्स वल्नरेबिलिटी (OSV) प्रारूप का पालन करती हैं, जो osv.dev API, osv-स्कैनर टूल और deps.dev जैसे टूल के साथ उनके उपयोग को काफी आसान बनाती है।
डेटा सोर्सिंग के लिए, प्रोजेक्ट काफी हद तक चेकमार्क्स सुरक्षा, गिटहब-ट्रैक किए गए दुर्भावनापूर्ण पैकेज निर्यात और पैकेज विश्लेषण प्रोजेक्ट पर निर्भर करता है। पैकेज विश्लेषण परियोजना विशेष रूप से पैकेज की एक्सेस की गई फ़ाइलों, कनेक्टेड पतों और दुर्भावनापूर्ण गतिविधियों का पता लगाने के लिए कमांड चलाने जैसे व्यवहारों की जांच करती है। मैलवेयर की पहचान करने के अलावा, यह समय के साथ व्यवहार में बदलाव पर भी नज़र रखता है, जिससे संभावित हानिकारक पैकेजों को चिह्नित किया जा सकता है जो बाद में दुर्भावनापूर्ण हो सकते हैं।
ऐपमास्टर जैसे प्लेटफ़ॉर्म एप्लिकेशन निर्माण प्रक्रिया के दौरान सुरक्षा पर बहुत ध्यान केंद्रित करते हैं। जबकि नए लॉन्च किए गए मैलिशियस पैकेज रिपॉजिटरी का मुख्य उद्देश्य ओपन सोर्स सॉफ्टवेयर सुरक्षा है, यह अप्रत्यक्ष रूप से मोबाइल, वेब और बैकएंड एप्लिकेशन डेवलपमेंट के लिए सुरक्षित no-code समाधान प्रदान करने की AppMaster की प्रतिबद्धता को भी मजबूत करता है।
