ΕΛ/ΛΑΚ | creativecommons.gr | mycontent.ellak.gr |
freedom

Package hunter: Ένα εργαλείο ανοιχτού κώδικα για τον εντοπισμό κακόβουλου κώδικα σε εξαρτήσεις από το Gitlab

To GitLab ανακοίνωσε την περασμένη εβδομάδα την κυκλοφορία ενός νέου εργαλείου ανοιχτού κώδικα που έχει σχεδιαστεί για να βοηθήσει τους προγραμματιστές λογισμικού να εντοπίσουν κακόβουλο κώδικα στις εξαρτήσεις των έργων τους.

Η επαναχρησιμοποίηση κώδικα είναι μια κεντρική προσέγγιση στον σημερινό προγραμματισμό, αλλά η εφαρμογή βιβλιοθηκών ανοιχτού κώδικα σε λογισμικό ενέχει και κάποιους κινδύνους. Ένα από αυτά σχετίζεται με τη χρήση πακέτων που ενδέχεται να περιέχουν κακόβουλο κώδικα, είτε λόγω παραβίασης του πακέτου είτε λόγω εξάρτησης από παραβιασμένες εξαρτήσεις.

Με ορισμένες εφαρμογές που εξαρτώνται από εκατοντάδες πακέτα, συμπεριλαμβανομένων ορισμένων που δεν έχουν ελεγχθεί, ο εντοπισμός ευάλωτου ή κακόβουλου κώδικα είναι απαραίτητος για τη διασφάλιση της ασφάλειας του λογισμικού και των χρηστών, ειδικά επειδή αυξάνονται οι περιπτώσεις όπου οι φορείς απειλών θέτουν σε κίνδυνο την αλυσίδα εφοδιασμού ανοιχτού κώδικα.

Αυτό που επιδιώκει να επιτύχει το GitLab με το νέο εργαλείο – που ονομάζεται Package Hunter – είναι η ανίχνευση κακόβουλου κώδικα που θα εκτελούταν εντός των εξαρτήσεων μιας εφαρμογής και ο οποίος ενδέχεται να μην αναγνωριστεί από άλλους scanners.

Για αυτό, το νέο εργαλείο εγκαθιστά τις εξαρτήσεις σε ένα sandbox και παρακολουθεί στενά τις κλήσεις συστήματος που εκτελούνται κατά την εγκατάσταση, για να εντοπίσει τυχόν ύποπτα και να τα αναφέρει στον χρήστη, για περαιτέρω εξέταση.

Το εργαλείο χρησιμοποιείται εσωτερικά στο GitLab από τον Νοέμβριο του 2020 και είναι τώρα διαθέσιμο για το κοινό, σε ανοιχτό κώδικα. Προς το παρόν, το Package Hunter περιλαμβάνει υποστήριξη μόνο για μονάδες NodeJS και Ruby Gems.

Πηγή άρθρου: https://www.securityweek.com/

Leave a Comment