EN
EN

Yeni Açık Kaynak Kodlu Zararlı Paket Analiz Aracı

16 Mayıs 2022


Açık Kaynak Güvenlik Vakfı (OpenSSF), popüler açık kaynak depolarına yüklenen tüm paketlerin dinamik analizini gerçekleştirebilen yeni bir aracın ilk prototip sürümünü duyurdu.

Paket Analizi projesi olarak adlandırılan girişim, yazılım tedarik zincirinin güvenliğini desteklemek ve açık kaynaklı yazılıma olan güveni artırmak amacıyla kullanıcıları herhangi bir kötü niyetli davranışı tespit edip uyararak açık kaynaklı paketlerin güvenliğini sağlamayı amaçlamaktadır.

Yazılım bileşenleri şunlardır:

- Bir zamanlayıcı - Paket Akışlarından analiz çalışanı için işler oluşturur.
- Analiz (tek seferlik analiz ve worker) - her paketin statik ve dinamik analizi yoluyla paket davranış verilerini toplar.
- Yükleyici - analiz sonuçlarını BigQuery'ye gönderir.

Amaç, tüm bu bileşenlerin birlikte çalışması ve açık kaynak paketlerinin davranışını incelemek ve kötü amaçlı yazılımları aramak için topluluk tarafından işletilen genişletilebilir bir altyapı sağlamaktır. 

OpenSSF, "Paket Analizi projesi, açık kaynak depolarında bulunan paketlerin davranışlarını ve yeteneklerini anlamaya çalışıyor: hangi dosyalara erişiyorlar, hangi adreslere bağlanıyorlar ve hangi komutları çalıştırıyorlar? gibi" dedi .

Proje ayrıca, daha önce güvenli olan yazılımların ne zaman şüpheli davranmaya başladığını belirlemek için paketlerin zaman içinde nasıl davrandığına ilişkin değişiklikleri de takip edebilmektedir. Bir ay süren bir test çalışmasında araç , PyPI ve NPM'ye yüklenen 200'den fazla kötü amaçlı paket belirledi ve sahte kitaplıkların çoğu bağımlılık karışıklığı ve yazım hatası saldırılarından yararlanıldı.

OpenSSF üyesi olan Google da Paket Analizi projesine desteğini artırırken, kullanıcıların güvenliğini sağlamak için paketlerin yayınlanmasının incelenmesi gerektiğini vurguladı. Teknoloji devinin Açık Kaynak Güvenlik Ekibi, geçen yıl, yazılım paketlerinin bütünlüğünü sağlamak ve yetkisiz değişiklikleri önlemek için Yazılım Yapıları için Tedarik Zinciri Düzeyleri (SLSA) adlı yeni bir çerçeve ortaya koymuştu. SLSA (SLSA ve "salsa" olarak telaffuz edilir) olarak adlandırılan uçtan uca çerçeve, yazılım geliştirme ve dağıtım hattını (yani kaynak ➞ inşa ➞ yayın iş akışı) güvence altına almayı ve zincirdeki her bağlantıda kaynak kodun, yapı platformunun ve yapı deposunun kurcalanmasından kaynaklanan tehditleri azaltmayı amaçlar.

https://thehackernews.com/images/-GV73OhYArGk/YMxEvW7g3GI/AAAAAAAAC6I/Cv-ffxM3MfcTjZ845sK_lTNxeM_l10YoACLcBGAsYHQ/s0/code-dependencies.jpg

Gelişme, açık kaynak ekosisteminin , kripto para madencileri ve bilgi hırsızları da dahil olmak üzere çeşitli kötü amaçlı yazılımlarla geliştiricileri hedeflemek için giderek daha fazla silahlanmasıyla ortaya çıkmıştır.

Kaynak