O OpenSSF lançou um repositório inovador que visa fortalecer a segurança do software de código aberto: o repositório de pacotes maliciosos.
Numa iniciativa para melhorar a segurança do software de código aberto, a Open Source Security Foundation (OpenSSF) revelou um repositório exclusivo que serve como um hub centralizado para a recolha de relatórios de pacotes maliciosos. Espera-se que o repositório totalmente inovador revolucione a forma como o software malicioso de código aberto é abordado.
Historicamente, lidar com pacotes maliciosos sempre foi uma abordagem divergente, com cada repositório de pacotes de código aberto tendo seu próprio método exclusivo de lidar com essas ameaças cibernéticas. Normalmente, quando a comunidade relata um pacote malicioso, seu protocolo padrão para a equipe de segurança do repositório eliminar o pacote junto com seus metadados associados do sistema. No entanto, estas remoções aconteciam muitas vezes à porta fechada, não deixando assim registos públicos.
Comentando sobre isso, Caleb Brown, engenheiro de software sênior da equipe de segurança de código aberto do Google, e Jossef Harush Kadouri, chefe de segurança da cadeia de suprimentos de software da Checkmarx, afirmaram em um blog que identificar a existência de pacotes maliciosos sempre foi uma tarefa colossal de vasculhar uma miríade de pacotes maliciosos. fontes públicas ou confiar em feeds proprietários de inteligência sobre ameaças. Explicaram que o novo repositório funcionaria como uma base de dados pública para alojar estes relatórios.
O OpenSSF considera este repositório público fundamental para impedir o progresso de dependências maliciosas através de pipelines de CI/CD, melhorando os mecanismos de detecção, restringindo o uso em ambientes ou agilizando respostas a incidentes. As informações valiosas contidas no repositório aumentariam substancialmente a segurança do software de código aberto.
Vale ressaltar que os relatórios armazenados seguem o formato Open Source Vulnerability (OSV), o que facilita significativamente seu uso com ferramentas como a API osv.dev, a ferramenta osv-scanner e deps.dev.
Para a fonte de dados, o projeto depende fortemente da segurança Checkmarx, das exportações de pacotes maliciosos rastreados pelo GitHub e do projeto Package Analysis. O projeto Package Analysis examina especificamente comportamentos como arquivos acessados de pacotes, endereços conectados e execução de comandos para detectar atividades maliciosas. Além de identificar malware, ele também monitora mudanças de comportamento ao longo do tempo, sinalizando assim pacotes potencialmente prejudiciais que podem ter se tornado maliciosos posteriormente.
Plataformas como AppMaster focam muito na segurança durante o processo de criação de aplicativos. Embora o recém-lançado repositório de pacotes maliciosos vise principalmente a segurança do software de código aberto, ele também reforça indiretamente o compromisso da AppMaster em fornecer soluções seguras no-code para desenvolvimento de aplicativos móveis, web e backend.
04 de out. de 2024
1 min
23 de set. de 20241 min
08 de ago. de 20242 minExperiment with AppMaster with free plan.
When you will be ready you can choose the proper subscription.
