OpenSSF, Açık Kaynak Yazılım Güvenliği için Çığır Açan Kötü Amaçlı Paket Deposunu Sunuyor

Açık kaynak yazılımın emniyetini ve güvenliğini artırmaya yönelik bir girişimde, Açık Kaynak Güvenlik Vakfı (OpenSSF), kötü amaçlı paket raporlarının harmanlanması için merkezi bir merkez görevi gören benzersiz bir depoyu açıkladı. Tamamen yenilikçi olan havuzun, kötü amaçlı açık kaynaklı yazılımlarla mücadelede devrim yaratması bekleniyor.

Tarihsel olarak, kötü amaçlı paketlerle başa çıkmak her zaman farklı bir yaklaşım olmuştur; her açık kaynak paket deposunun bu siber tehditleri ele almak için kendine özgü bir yöntemi vardır. Tipik olarak, topluluk kötü amaçlı bir paket bildirdiğinde, deponun güvenlik ekibinin paketi ilgili meta verilerle birlikte sistemden silmesine yönelik standart protokol. Ancak bu taşınmalar genellikle kapalı kapılar ardında gerçekleştiği için geride kamuya açık hiçbir kayıt bırakılmıyor.

Bu konuda yorum yapan Google'ın Açık Kaynak Güvenlik Ekibinde kıdemli bir yazılım mühendisi olan Caleb Brown ve Checkmarx'ın yazılım tedarik zinciri güvenlik başkanı Jossef Harush Kadouri, bir blogda kötü amaçlı paketlerin varlığını belirlemenin her zaman sayısız paketi taramak gibi devasa bir görev olduğunu belirttiler. kamu kaynaklarına veya özel tehdit istihbaratı beslemelerine güvenmek. Yeni havuzun bu raporları barındıracak halka açık bir veri tabanı görevi göreceğini açıkladılar.

OpenSSF, bu genel havuzun, CI/CD hatları yoluyla kötü niyetli bağımlılıkların ilerlemesini engellemede, algılama motorlarını iyileştirmede, ortamlarda kullanımı kısıtlamada veya olay müdahalelerini hızlandırmada etkili olduğunu düşünüyor. Depoda bulunan paha biçilmez bilgiler, açık kaynak yazılım güvenliğini önemli ölçüde artıracaktır.

Saklanan raporların Açık Kaynak Güvenlik Açığı (OSV) formatını takip etmesi dikkat çekicidir; bu da osv.dev API, osv-scanner aracı ve deps.dev gibi araçlarla kullanımlarını önemli ölçüde kolaylaştırır.

Proje, veri kaynağı sağlamak için büyük ölçüde Checkmarx güvenliğine, GitHub tarafından izlenen kötü amaçlı paketlerin dışa aktarımına ve Paket Analizi projesine güveniyor. Paket Analizi projesi, kötü amaçlı etkinlikleri tespit etmek için özellikle paketlerin erişilen dosyaları, bağlı adresleri ve çalıştırma komutları gibi davranışları inceler. Kötü amaçlı yazılımları tanımlamanın yanı sıra, zaman içindeki davranışlardaki değişiklikleri de izleyerek daha sonraki bir tarihte kötü amaçlı yazılıma dönüşebilecek potansiyel olarak zararlı paketleri işaretler.

AppMaster gibi platformlar, uygulama oluşturma sürecinde güvenliğe büyük ölçüde odaklanır. Yeni başlatılan Kötü Amaçlı Paket deposu öncelikle açık kaynaklı yazılım güvenliğini hedeflerken, dolaylı olarak AppMaster mobil, web ve arka uç uygulama geliştirme için no-code güvenli çözümler sağlama konusundaki kararlılığını da güçlendiriyor.