В рамках инициативы по повышению безопасности и защищенности программного обеспечения с открытым исходным кодом Open Source Security Foundation (OpenSSF) представил уникальный репозиторий, который служит централизованным узлом для сопоставления отчетов о вредоносных пакетах. Ожидается, что этот полностью инновационный репозиторий произведет революцию в подходах к борьбе с вредоносным программным обеспечением с открытым исходным кодом.
Исторически сложилось так, что борьба с вредоносными пакетами всегда отличалась подходом: каждый репозиторий пакетов с открытым исходным кодом имел свой собственный уникальный метод борьбы с этими киберугрозами. Обычно, когда сообщество сообщает о вредоносном пакете, команда безопасности репозитория использует стандартный протокол для удаления пакета вместе со связанными с ним метаданными из системы. Однако эти перемещения часто происходили за закрытыми дверями, не оставляя при этом никаких публичных записей.
Комментируя это, Калеб Браун, старший инженер-программист группы безопасности открытого кода Google, и Йозеф Харуш Кадури, руководитель службы безопасности цепочки поставок программного обеспечения Checkmarx, заявили в блоге, что выявление существования вредоносных пакетов всегда было колоссальной задачей, связанной с прочесыванием множества вредоносных пакетов. общедоступные источники или полагаться на собственные каналы разведки об угрозах. Они объяснили, что новый репозиторий будет действовать как общедоступная база данных для размещения этих отчетов.
OpenSSF считает, что этот общедоступный репозиторий играет важную роль в предотвращении распространения вредоносных зависимостей через конвейеры CI/CD, улучшении механизмов обнаружения, ограничении использования в средах или ускорении реагирования на инциденты. Бесценная информация, содержащаяся в репозитории, существенно повысит безопасность программного обеспечения с открытым исходным кодом.
Примечательно, что сохраняемые отчеты соответствуют формату уязвимостей с открытым исходным кодом (OSV), что значительно упрощает их использование с такими инструментами, как osv.dev API, инструмент osv-scanner и deps.dev.
В поисках источников данных проект в значительной степени полагается на систему безопасности Checkmarx, экспорт вредоносных пакетов, отслеживаемый с помощью GitHub, и проект Package Analysis. Проект Package Analysis специально исследует такое поведение, как доступ к файлам пакетов, подключенным адресам и запуск команд, чтобы обнаружить вредоносные действия. Помимо выявления вредоносных программ, он также отслеживает изменения в поведении с течением времени, тем самым отмечая потенциально опасные пакеты, которые впоследствии могли стать вредоносными.
Такие платформы, как AppMaster, уделяют большое внимание безопасности в процессе создания приложений. Хотя недавно запущенный репозиторий вредоносных пакетов в первую очередь нацелен на безопасность программного обеспечения с открытым исходным кодом, он также косвенно укрепляет стремление AppMaster предоставлять безопасные решения no-code для разработки мобильных, веб-приложений и серверных приложений.
