OpenSSF introduceert baanbrekende opslagplaats voor kwaadaardige pakketten voor open source-softwarebeveiliging

In een initiatief om de veiligheid en beveiliging van open source-software te verbeteren, heeft de Open Source Security Foundation (OpenSSF) een unieke repository onthuld die dient als een gecentraliseerde hub voor het verzamelen van rapporten over kwaadaardige pakketten. De verwachting is dat de uiterst innovatieve repository een revolutie teweeg zal brengen in de manier waarop kwaadaardige open source-software wordt aangepakt.

Historisch gezien is het omgaan met kwaadaardige pakketten altijd een uiteenlopende aanpak geweest, waarbij elke opslagplaats voor open source-pakketten zijn eigen unieke methode had om met deze cyberbedreigingen om te gaan. Wanneer de gemeenschap een kwaadaardig pakket rapporteert, is het standaardprotocol voor het beveiligingsteam van de repository doorgaans bedoeld om het pakket samen met de bijbehorende metagegevens van het systeem te verwijderen. Deze verhuizingen vonden echter vaak achter gesloten deuren plaats, waardoor er geen openbare gegevens achterbleven.

In een reactie hierop verklaarden Caleb Brown, een senior software-ingenieur bij het Open Source Security-team van Google, en Jossef Harush Kadouri, hoofd van de software supply chain-beveiliging van Checkmarx, in een blog dat het identificeren van het bestaan ​​van kwaadaardige pakketten altijd een kolossale taak was van het doorzoeken van talloze openbare bronnen of vertrouwend op bedrijfseigen feeds voor bedreigingsinformatie. Ze legden uit dat de nieuwe repository zou fungeren als een openbare database voor het hosten van deze rapporten.

OpenSSF beschouwt deze openbare repository als een instrument bij het tegenwerken van de voortgang van kwaadaardige afhankelijkheden via CI/CD-pijplijnen, het verbeteren van detectie-engines, het beperken van het gebruik in omgevingen of het versnellen van reacties op incidenten. De waardevolle informatie in de repository zou de beveiliging van open source-software aanzienlijk vergroten.

Het is opmerkelijk dat de opgeslagen rapporten het Open Source Vulnerability (OSV)-formaat volgen, wat het gebruik ervan aanzienlijk vergemakkelijkt met tools zoals osv.dev API, de osv-scanner tool en deps.dev.

Voor datasourcing is het project sterk afhankelijk van Checkmarx-beveiliging, door GitHub bijgehouden exporten van kwaadaardige pakketten en het Package Analysis-project. Het Package Analysis-project onderzoekt specifiek gedrag zoals de door de pakketten geopende bestanden, verbonden adressen en uitvoeringsopdrachten om kwaadaardige activiteiten op te sporen. Naast het identificeren van malware, monitort het ook gedragsveranderingen in de loop van de tijd, waardoor potentieel schadelijke pakketten worden gemarkeerd die op een later tijdstip mogelijk kwaadaardig zijn geworden.

Platformen zoals AppMaster richten zich sterk op beveiliging tijdens het creatieproces van applicaties. Hoewel de nieuw gelanceerde Malicious Packages-repository primair gericht is op de veiligheid van open source-software, versterkt het ook indirect AppMaster 's toewijding aan het leveren van veilige no-code oplossingen voor de ontwikkeling van mobiele, web- en backend-applicaties.