Trong một sáng kiến nhằm tăng cường sự an toàn và bảo mật của phần mềm nguồn mở, Tổ chức Bảo mật Nguồn Mở (OpenSSF) đã tiết lộ một kho lưu trữ duy nhất đóng vai trò là trung tâm tập trung để đối chiếu các báo cáo về gói độc hại. Kho lưu trữ được đổi mới hoàn toàn được kỳ vọng sẽ cách mạng hóa cách xử lý phần mềm nguồn mở độc hại.
Trong lịch sử, việc xử lý các gói độc hại luôn là một cách tiếp cận khác nhau, với mỗi kho lưu trữ gói nguồn mở có phương pháp riêng để xử lý các mối đe dọa mạng này. Thông thường, khi cộng đồng báo cáo một gói độc hại, giao thức tiêu chuẩn của cộng đồng dành cho nhóm bảo mật của kho lưu trữ sẽ xóa gói cùng với siêu dữ liệu liên quan của nó khỏi hệ thống. Tuy nhiên, việc xóa bỏ này thường diễn ra sau cánh cửa đóng kín, do đó không để lại hồ sơ công khai nào.
Bình luận về điều này, Caleb Brown, kỹ sư phần mềm cấp cao trong Nhóm bảo mật nguồn mở của Google và Jossef Harush Kadouri, người đứng đầu bảo mật chuỗi cung ứng phần mềm của Checkmarx, đã tuyên bố trong một blog rằng việc xác định sự tồn tại của các gói độc hại luôn là một nhiệm vụ khổng lồ khi xem xét vô số các gói phần mềm độc hại. nguồn công cộng hoặc dựa vào nguồn cấp dữ liệu thông tin về mối đe dọa độc quyền. Họ giải thích rằng kho lưu trữ mới sẽ hoạt động như một cơ sở dữ liệu công cộng để lưu trữ các báo cáo này.
OpenSSF coi kho lưu trữ công cộng này là công cụ ngăn chặn tiến trình của các phần phụ thuộc độc hại thông qua đường dẫn CI/CD, cải thiện công cụ phát hiện, hạn chế sử dụng trong môi trường hoặc đẩy nhanh phản hồi sự cố. Thông tin vô giá chứa trong kho sẽ tăng cường đáng kể tính bảo mật của phần mềm nguồn mở.
Đáng chú ý là các báo cáo được lưu trữ tuân theo định dạng Lỗ hổng nguồn mở (OSV), giúp giảm đáng kể việc sử dụng chúng bằng các công cụ như API osv.dev, công cụ osv-scanner và deps.dev.
Để tìm nguồn cung cấp dữ liệu, dự án chủ yếu dựa vào bảo mật Checkmarx, xuất các gói độc hại được theo dõi bởi GitHub và dự án Phân tích gói. Dự án Phân tích gói kiểm tra cụ thể các hành vi như tệp được truy cập của gói, địa chỉ được kết nối và chạy lệnh để phát hiện các hoạt động độc hại. Ngoài việc xác định phần mềm độc hại, nó còn giám sát các thay đổi trong hành vi theo thời gian, từ đó gắn cờ các gói có khả năng gây hại và có thể trở thành độc hại sau này.
Các nền tảng như AppMaster tập trung rất nhiều vào bảo mật trong quá trình tạo ứng dụng. Mặc dù kho lưu trữ Gói độc hại mới ra mắt chủ yếu nhằm mục đích đảm bảo an toàn cho phần mềm nguồn mở, nhưng nó cũng gián tiếp củng cố cam kết của AppMaster trong việc cung cấp các giải pháp an toàn no-code để phát triển ứng dụng di động, web và phụ trợ.
