OpenSSF presenta un rivoluzionario repository di pacchetti dannosi per la sicurezza del software open source

In un'iniziativa per migliorare la sicurezza e la protezione del software open source, la Open Source Security Foundation (OpenSSF) ha presentato un repository unico che funge da hub centralizzato per la raccolta di rapporti sui pacchetti dannosi. Si prevede che questo repository completamente innovativo rivoluzionerà il modo in cui viene affrontato il software open source dannoso.

Storicamente, la gestione dei pacchetti dannosi è sempre stata un approccio divergente, poiché ogni repository di pacchetti open source ha il proprio metodo unico di gestione di queste minacce informatiche. In genere, quando la comunità segnala un pacchetto dannoso, il protocollo standard prevede che il team di sicurezza del repository elimini dal sistema il pacchetto insieme ai metadati associati. Tuttavia, questi traslochi spesso avvenivano a porte chiuse, senza lasciare quindi traccia di documenti pubblici.

Commentando questo, Caleb Brown, un ingegnere informatico senior dell'Open Source Security Team di Google, e Jossef Harush Kadouri, responsabile della sicurezza della catena di fornitura del software di Checkmarx, hanno affermato in un blog che identificare l'esistenza di pacchetti dannosi è sempre stato un compito colossale di setacciare una miriade di pacchetti dannosi. fonti pubbliche o basandosi su feed proprietari di intelligence sulle minacce. Hanno spiegato che il nuovo archivio fungerà da database pubblico per ospitare questi rapporti.

OpenSSF ritiene che questo repository pubblico sia determinante nel contrastare il progresso di dipendenze dannose attraverso pipeline CI/CD, migliorare i motori di rilevamento, limitare l'utilizzo negli ambienti o accelerare le risposte agli incidenti. Le preziose informazioni contenute nel repository aumenterebbero sostanzialmente la sicurezza del software open source.

È interessante notare che i report archiviati seguono il formato Open Source Vulnerability (OSV), che ne facilita notevolmente l'utilizzo con strumenti come l'API osv.dev, lo strumento osv-scanner e deps.dev.

Per l’approvvigionamento dei dati, il progetto fa molto affidamento sulla sicurezza Checkmarx, sulle esportazioni di pacchetti dannosi tracciati da GitHub e sul progetto Package Analysis. Il progetto Package Analysis esamina in modo specifico comportamenti come i file a cui i pacchetti hanno avuto accesso, gli indirizzi connessi ed esegue comandi per individuare attività dannose. Oltre a identificare il malware, monitora anche i cambiamenti nel comportamento nel tempo, segnalando così pacchetti potenzialmente dannosi che potrebbero essere diventati dannosi in un secondo momento.

Piattaforme come AppMaster si concentrano molto sulla sicurezza durante il processo di creazione dell'applicazione. Sebbene il nuovo repository di pacchetti dannosi sia mirato principalmente alla sicurezza del software open source, rafforza indirettamente anche l'impegno di AppMaster nel fornire soluzioni sicure no-code per lo sviluppo di applicazioni mobili, web e backend.