オープンソース ソフトウェアの安全性とセキュリティを強化する取り組みの一環として、Open Source Security Foundation (OpenSSF) は、悪意のあるパッケージ レポートを照合するための集中ハブとして機能する独自のリポジトリを発表しました。徹底的に革新的なリポジトリは、悪意のあるオープンソース ソフトウェアに対処する方法に革命を起こすことが期待されています。
歴史的に、悪意のあるパッケージへの対処は常に多様なアプローチであり、各オープンソース パッケージ リポジトリはこれらのサイバー脅威に対処する独自の方法を持っていました。通常、コミュニティが悪意のあるパッケージを報告すると、リポジトリのセキュリティ チームがそのパッケージを関連するメタデータとともにシステムから削除するための標準プロトコルが使用されます。しかし、これらの削除は多くの場合密室で行われ、そのため公的記録は残されませんでした。
これについて、Google のオープンソース セキュリティ チームのシニア ソフトウェア エンジニアである Caleb Brown 氏と、Checkmarx のソフトウェア サプライ チェーン セキュリティ責任者である Jossef Harash Kadouri 氏はブログで、悪意のあるパッケージの存在を特定することは、常に無数のパッケージをくまなく調べるという途方もない作業であると述べています。公共の情報源を利用するか、独自の脅威インテリジェンス フィードに依存します。彼らは、新しいリポジトリがこれらのレポートをホストする公開データベースとして機能すると説明しました。
OpenSSF は、このパブリック リポジトリが、CI/CD パイプラインを介した悪意のある依存関係の進行の阻止、検出エンジンの改善、環境内での使用の制限、またはインシデント対応の迅速化に役立つと認識しています。リポジトリに含まれる貴重な情報は、オープンソース ソフトウェアのセキュリティを大幅に強化します。
保存されたレポートがオープンソース脆弱性 (OSV) 形式に従っていることは注目に値します。これにより、osv.dev API、osv-scanner ツール、deps.dev などのツールでの使用が大幅に容易になります。
データ調達に関して、このプロジェクトは Checkmarx セキュリティ、GitHub で追跡された悪意のあるパッケージのエクスポート、およびパッケージ分析プロジェクトに大きく依存しています。パッケージ分析プロジェクトは、パッケージのアクセスされたファイル、接続されたアドレス、コマンドの実行などの動作を特に調査して、悪意のあるアクティビティを特定します。マルウェアの特定とは別に、時間の経過に伴う動作の変化も監視し、それにより、後日悪意のあるものに変わった可能性のある有害な可能性のあるパッケージにフラグを立てます。
AppMasterのようなプラットフォームは、アプリケーション作成プロセス中のセキュリティに重点を置いています。新しく開始された Malicious Packages リポジトリは、主にオープンソース ソフトウェアの安全性を目的としていますが、モバイル、Web、およびバックエンド アプリケーション開発のための安全なno-codeソリューションを提供するというAppMasterの取り組みも間接的に強化されます。
