OpenSSF ขอแนะนำพื้นที่เก็บข้อมูลแพ็คเกจที่เป็นอันตรายใหม่ล่าสุดสำหรับการรักษาความปลอดภัยซอฟต์แวร์โอเพ่นซอร์ส

ด้วยความริเริ่มที่จะยกระดับความปลอดภัยและความปลอดภัยของซอฟต์แวร์โอเพ่นซอร์ส Open Source Security Foundation (OpenSSF) ได้เปิดตัวพื้นที่เก็บข้อมูลที่เป็นเอกลักษณ์ซึ่งทำหน้าที่เป็นศูนย์กลางแบบรวมศูนย์สำหรับการจัดเรียงรายงานแพ็คเกจที่เป็นอันตราย พื้นที่เก็บข้อมูลที่เป็นนวัตกรรมใหม่นี้คาดว่าจะปฏิวัติวิธีจัดการกับซอฟต์แวร์โอเพ่นซอร์สที่เป็นอันตราย

ในอดีต การจัดการกับแพ็คเกจที่เป็นอันตรายนั้นเป็นแนวทางที่แตกต่างกันมาโดยตลอด โดยที่เก็บข้อมูลแพ็คเกจโอเพ่นซอร์สแต่ละแห่งจะมีวิธีการเฉพาะของตัวเองในการจัดการภัยคุกคามทางไซเบอร์เหล่านี้ โดยทั่วไป เมื่อชุมชนรายงานแพ็คเกจที่เป็นอันตราย โปรโตคอลมาตรฐานสำหรับทีมรักษาความปลอดภัยของพื้นที่เก็บข้อมูลเพื่อล้างแพ็คเกจควบคู่ไปกับเมตาดาต้าที่เกี่ยวข้องออกจากระบบ อย่างไรก็ตาม การนำออกเหล่านี้มักเกิดขึ้นหลังประตูที่ปิด จึงไม่ทิ้งบันทึกสาธารณะไว้เบื้องหลัง

Caleb Brown วิศวกรซอฟต์แวร์อาวุโสของทีมรักษาความปลอดภัยโอเพ่นซอร์สของ Google และ Jossef Harush Kadouri หัวหน้าฝ่ายรักษาความปลอดภัยห่วงโซ่อุปทานซอฟต์แวร์ของ Checkmarx ระบุในบล็อกว่า การระบุการมีอยู่ของแพ็คเกจที่เป็นอันตรายนั้นเป็นงานที่หนักหนาสาหัสในการรวบรวมข้อมูลจำนวนมากมายมหาศาลมาโดยตลอด แหล่งข้อมูลสาธารณะหรืออาศัยฟีดข่าวกรองภัยคุกคามที่เป็นกรรมสิทธิ์ พวกเขาอธิบายว่าพื้นที่เก็บข้อมูลใหม่จะทำหน้าที่เป็นฐานข้อมูลสาธารณะเพื่อโฮสต์รายงานเหล่านี้

OpenSSF มองว่าพื้นที่เก็บข้อมูลสาธารณะนี้เป็นเครื่องมือในการขัดขวางความคืบหน้าของการพึ่งพาที่เป็นอันตรายผ่านไปป์ไลน์ CI/CD ปรับปรุงกลไกการตรวจจับ การจำกัดการใช้งานในสภาพแวดล้อม หรือเร่งการตอบสนองต่อเหตุการณ์ ข้อมูลอันล้ำค่าที่มีอยู่ในพื้นที่เก็บข้อมูลจะช่วยเพิ่มความปลอดภัยของซอฟต์แวร์โอเพ่นซอร์สได้อย่างมาก

เป็นที่น่าสังเกตว่ารายงานที่จัดเก็บเป็นไปตามรูปแบบ Open Source Vulnerability (OSV) ซึ่งช่วยให้การใช้งานง่ายขึ้นอย่างมากด้วยเครื่องมือต่างๆ เช่น osv.dev API, เครื่องมือ osv-scanner และ deps.dev

สำหรับการจัดหาข้อมูล โปรเจ็กต์อาศัยความปลอดภัยของ Checkmarx อย่างมาก การส่งออกแพ็คเกจที่เป็นอันตรายที่ติดตามโดย GitHub และโปรเจ็กต์การวิเคราะห์แพ็คเกจ โครงการวิเคราะห์แพ็คเกจจะตรวจสอบพฤติกรรมโดยเฉพาะ เช่น ไฟล์ที่เข้าถึงของแพ็คเกจ ที่อยู่ที่เชื่อมต่อ และเรียกใช้คำสั่งเพื่อระบุกิจกรรมที่เป็นอันตราย นอกเหนือจากการระบุมัลแวร์แล้ว มันยังติดตามการเปลี่ยนแปลงพฤติกรรมเมื่อเวลาผ่านไป ดังนั้นจึงติดธงแพ็คเกจที่อาจเป็นอันตรายซึ่งอาจกลายเป็นอันตรายในภายหลัง

แพลตฟอร์มอย่าง AppMaster ให้ความสำคัญกับความปลอดภัยอย่างมากในระหว่างกระบวนการสร้างแอปพลิเคชัน แม้ว่าพื้นที่เก็บข้อมูล Malicious Package ที่เพิ่งเปิดตัวใหม่จะมุ่งเป้าไปที่ความปลอดภัยของซอฟต์แวร์โอเพ่นซอร์สเป็นหลัก แต่ก็ยังตอกย้ำความมุ่งมั่นของ AppMaster ในการจัดหาโซลูชัน no-code ที่ปลอดภัยสำหรับการพัฒนาแอปพลิเคชันบนมือถือ เว็บ และแบ็กเอนด์อีกด้วย