[ad_1]
IL Fondazione per la sicurezza open source (OpenSSF) sta tentando di affrontare il problema del software open source dannoso con un nuovo repository che aggregherà i rapporti sui pacchetti dannosi.
“Attualmente, ciascun repository di pacchetti open source ha il proprio approccio alla gestione dei pacchetti dannosi. Quando la comunità segnala un pacchetto dannoso, è normale che il team di sicurezza del repository del pacchetto rimuova il pacchetto e i metadati associati. Sfortunatamente, queste azioni spesso avvengono senza alcuna traccia pubblica. Per scoprire quali pacchetti dannosi esistono è necessario mettere insieme dati provenienti da molte fonti pubbliche disparate o attraverso feed proprietari di informazioni sulle minacce”, Caleb Brown, ingegnere informatico senior del Google Open Source Security Team e Jossef Harush Kadouri, responsabile della sicurezza della catena di fornitura del software presso Checkmarx, ha scritto in a post sul blog.
IL Archivio dei pacchetti dannosi funge da database pubblico in cui vengono archiviati i rapporti sui pacchetti dannosi.
OpenSSF ritiene che avere un archivio pubblico di queste informazioni “impedirà alle dipendenze dannose di spostarsi attraverso le pipeline CI/CD, perfezionerà i motori di rilevamento, scansionerà e impedirà l’utilizzo negli ambienti o accelererà la risposta agli incidenti”, hanno spiegato Brown e Kadouri.
I report vengono archiviati utilizzando il formato Open Source Vulnerability (OSV), che ne facilita l’utilizzo con strumenti come l’API osv.dev, lo strumento osv-scanner e deps.dev.
Il progetto ricava i dati dalla sicurezza Checkmarx, dalle esportazioni di pacchetti dannosi tracciati da GitHub e dal Progetto di analisi dei pacchetti, che esamina i comportamenti, ad esempio a quali file accede il pacchetto, a quali indirizzi si connette e quali comandi esegue. Ciò aiuta a determinare se un pacchetto si comporta in modo dannoso. Tiene inoltre traccia dei cambiamenti nel comportamento nel tempo, il che può aiutare a identificare pacchetti precedentemente sicuri che a un certo punto sono diventati dannosi.
[ad_2]
Source link
