OpenSSF wprowadza przełomowe repozytorium złośliwych pakietów zapewniające bezpieczeństwo oprogramowania typu open source

W ramach inicjatywy mającej na celu zwiększenie bezpieczeństwa i ochrony oprogramowania typu open source fundacja Open Source Security Foundation (OpenSSF) udostępniła unikalne repozytorium, które służy jako scentralizowane centrum gromadzenia raportów o złośliwych pakietach. Oczekuje się, że to całkowicie innowacyjne repozytorium zrewolucjonizuje sposób zwalczania złośliwego oprogramowania typu open source.

Historycznie rzecz biorąc, radzenie sobie ze złośliwymi pakietami zawsze wymagało rozbieżnego podejścia, a każde repozytorium pakietów typu open source miało własną, unikalną metodę radzenia sobie z cyberzagrożeniami. Zazwyczaj, gdy społeczność zgłasza złośliwy pakiet, jej standardowy protokół umożliwia zespołowi ds. bezpieczeństwa repozytorium usunięcie pakietu wraz z powiązanymi z nim metadanymi z systemu. Jednakże te przeprowadzki często odbywały się za zamkniętymi drzwiami, nie pozostawiając w ten sposób żadnych publicznych rejestrów.

Komentując to, Caleb Brown, starszy inżynier oprogramowania w zespole Google ds. bezpieczeństwa Open Source oraz Jossef Harush Kadouri, szef bezpieczeństwa łańcucha dostaw oprogramowania w firmie Checkmarx, napisali na blogu, że identyfikacja obecności szkodliwych pakietów zawsze była kolosalnym zadaniem polegającym na przeczesaniu niezliczonej liczby pakietów. źródła publiczne lub poleganie na zastrzeżonych źródłach informacji o zagrożeniach. Wyjaśnili, że nowe repozytorium będzie pełnić funkcję publicznej bazy danych, w której będą przechowywane te raporty.

OpenSSF postrzega to publiczne repozytorium jako instrumentalne w powstrzymywaniu postępu złośliwych zależności poprzez potoki CI/CD, ulepszaniu silników wykrywających, ograniczaniu użycia w środowiskach lub przyspieszaniu reakcji na incydenty. Bezcenne informacje zawarte w repozytorium znacznie zwiększyłyby bezpieczeństwo oprogramowania open source.

Warto zauważyć, że przechowywane raporty są zgodne z formatem Open Source Vulnerability (OSV), co znacznie ułatwia ich wykorzystanie za pomocą narzędzi takich jak API osv.dev, narzędzie osv-scanner czy deps.dev.

Jeśli chodzi o pozyskiwanie danych, projekt w dużym stopniu opiera się na zabezpieczeniach Checkmarx, eksporcie złośliwych pakietów śledzonych przez GitHub oraz projekcie analizy pakietów. Projekt analizy pakietów szczegółowo bada zachowania, takie jak pliki, do których uzyskiwany jest dostęp do pakietów, połączone adresy i uruchamiane polecenia w celu wykrycia złośliwych działań. Oprócz identyfikowania złośliwego oprogramowania monitoruje także zmiany w zachowaniu w czasie, oznaczając w ten sposób potencjalnie szkodliwe pakiety, które mogły później stać się złośliwe.

Platformy takie jak AppMaster w dużym stopniu skupiają się na bezpieczeństwie podczas procesu tworzenia aplikacji. Chociaż nowo uruchomione repozytorium Malicious Packages ma przede wszystkim na celu bezpieczeństwo oprogramowania typu open source, pośrednio wzmacnia ono także zaangażowanie firmy AppMaster w dostarczanie bezpiecznych rozwiązań no-code do tworzenia aplikacji mobilnych, internetowych i backendowych.