• Startseite
  • Artikel
  • Marketing
  • Socket – Schutz von Open-Source-Software vor Supply-Chain-Angriffen mit Paketanalyse der nächsten Generation

Socket – Schutz von Open-Source-Software vor Supply-Chain-Angriffen mit Paketanalyse der nächsten Generation

Veröffentlicht: 2022-05-30

Mit dem Aufkommen und der Allgegenwart des Internets verlassen sich Unternehmen zunehmend auf die Digitalisierung, um im heutigen Geschäftsumfeld zu überleben und erfolgreich zu sein. Aber mit den Vorteilen, die der technologische Fortschritt mit sich bringt, gibt es Probleme, mit denen diese Unternehmen fertig werden müssen. Cybersicherheitsverletzungen sind ein erhebliches Problem für Unternehmen, das großen Schaden anrichten kann. Um dieses Problem anzugehen, hat Socket seine Cybersicherheitsplattform eingeführt, um Unternehmen dabei zu helfen, sich vor Angriffen auf die Softwarelieferkette zu schützen. Diese Unternehmen nutzen die Cybersicherheitsplattform, um ihre Softwareanwendungen und kritischen Dienste vor Malware und Sicherheitsbedrohungen zu schützen, die aus Open-Source-Code stammen.

Lesen Sie auch: 7 Gründe, warum Ressourcenmanagement für kleine Unternehmen wichtig ist

Das von Feross Aboukhadijeh gegründete Unternehmen wurde 2021 mit der Vision gegründet, Open-Source-Ökosysteme für Unternehmen zu schützen. Der Fokus lag auf Open-Source-Software, die es Teams ermöglicht, leistungsstarke Anwendungen in kürzerer Zeit zu erstellen. Darüber hinaus kann jeder in der Gruppe den Code einsehen und dazu beitragen. Aboukhadijeh erkannte, dass einige Angreifer als allgemein vertrauensvolle Gemeinschaft dieses Vertrauen und diese Offenheit ausnutzen, um dreiste Angriffe auf die Lieferkette durchzuführen. Das Ausmaß von Open-Source-Malware hat ein beispielloses Wachstum erlebt. Dies ist die Steigerungsrate, die über die fortgesetzte Nutzung von Open-Source-Software verbreitet wird.

Es gibt Gründe, warum erprobte und vertrauenswürdige Ansätze zum Schutz von Open Source nicht funktioniert haben. Die gesamte Sicherheitsbranche war schon immer damit beschäftigt, nach bekannten Schwachstellen zu suchen, ein zu reaktiver Ansatz, um einen aktiven Angriff auf die Lieferkette zu stoppen. Es kann Wochen oder Monate dauern, bis Expositionen entdeckt werden.

In der heutigen Kultur der schnellen Entwicklung kann eine schädliche Abhängigkeit innerhalb von Tagen oder sogar Stunden aktualisiert, zusammengeführt und in der Produktion ausgeführt werden. Dies ist nicht genug Zeit, um einen CVE zu erstellen und in die von den Teams verwendeten Tools zum Scannen von Sicherheitslücken einzudringen.

Angriffe und Schwachstellen in der Lieferkette sind sehr unterschiedlich und erfordern sehr unterschiedliche Lösungen:

️ Schwachstellen werden versehentlich von einem Open-Source-Betreuer eingeführt. Manchmal ist es in Ordnung, eine Schwachstelle an die Produktion zu senden, wenn sie nur geringe Auswirkungen hat.

️ Supply-Chain-Angriffe werden absichtlich von einem Angreifer eingeführt. Es ist NIEMALS in Ordnung, Malware zu senden, um sie anzuzeigen. Sie müssen es abfangen, BEVOR Sie es installieren oder sich darauf verlassen.

Teams, die Angriffe auf die Lieferkette angehen wollen, haben derzeit zwei Möglichkeiten:

  • Führen Sie eine vollständige Prüfung durch – Lesen Sie jede Codezeile in allen Abhängigkeiten. Nur sehr wenige Unternehmen tun dies, aber es ist der Goldstandard zur Verhinderung von Angriffen auf die Lieferkette. Es braucht ein Vollzeitteam, um diesen Prozess zu verwalten – die Audits, die Updates, die Zulassungsliste und das Anwenden kritischer Sicherheitspatches. Dieser Ansatz ist für alle außer den bekanntesten Unternehmen oder den sicherheitskritischsten Anwendungen unerreichbar. Es ist viel Arbeit, es ist langsam und es ist teuer.
  • Nichts tun – Daumen drücken und das Beste hoffen. Dies ist die Option, die die meisten Teams wählen. Auf den meisten Einheiten kann jeder Entwickler jede Abhängigkeit installieren, um die Arbeit zu erledigen, und niemand sieht sich den Code in diesen Abhängigkeiten an, bevor er die Pull-Anfrage genehmigt. Wie zu erwarten, macht dieser Ansatz Unternehmen völlig anfällig für Angriffe auf die Lieferkette.

Kein Ansatz ist ideal.

Lesen Sie auch: 10 Gründe, warum Softwaretests heute ein wachsendes Berufsfeld sind

Bei der Entwicklung der Wormhole-App (einem Ende-zu-Ende-verschlüsselten Dateiübertragungstool) stand das Unternehmen vor der Herausforderung, Open-Source-Abhängigkeiten inmitten eines ständigen Angriffs auf die Lieferkette auszuwählen, zu verwalten und zu aktualisieren. Dies führte zu der Notwendigkeit einer dringenden Lösung des Problems. Daher hat das Unternehmen untersucht, was Angreifer tatsächlich tun, nachdem sie ein Paket kompromittiert haben. Nahezu jeder Supply-Chain-Angriff im JavaScript-Ökosystem folgte einem bekannten Muster. Sobald der Angreifer die Kontrolle über ein Paket erlangte, fügte er Installationsskripts, Netzwerkverbindungen, Shell-Befehle, Zugriff auf das Dateisystem oder verschleierten Code hinzu. Andere nutzten Social Engineering wie Typo-Squatting; dies gab die richtige Richtung für eine Lösung vor. Die innovative Lösung geht davon aus, dass alle Open-Source-Pakete bösartig sein können, und arbeitet rückwärts, um proaktiv Anzeichen von kompromittierten Paketen zu erkennen. Das Unternehmen suchte nach dem einfachsten Weg, um dieses Risiko zu mindern, ohne die Benutzerfreundlichkeit zu beeinträchtigen. Und so machten sie sich daran, Entwicklern dabei zu helfen, Open Source sicher zu nutzen, ohne die Entwicklungsgeschwindigkeit zu beeinträchtigen. In den folgenden Monaten entstand Socket mit seinen beliebten Open-Source-Paketen.

Das Unternehmen kann die verräterischen Anzeichen eines Angriffs auf die Lieferkette erkennen, indem es Open-Source-Pakete und ihre Abhängigkeiten statisch analysiert. Anschließend benachrichtigt es Entwickler, wenn sich Pakete auf sicherheitsrelevante Weise ändern, und hebt Ereignisse wie die Einführung von Installationsskripten, verschleierten Code oder die Verwendung privilegierter APIs wie Shell-, Netzwerk-, Dateisystem- und Umgebungsvariablen hervor. Um beispielsweise zu erkennen, ob ein Paket das Netzwerk verwendet, prüft Socket, ob fetch()-, Node's net-, dgram-, DNS-, HTTP- oder HTTPS-Module innerhalb des Pakets oder einer seiner Abhängigkeiten verwendet werden. Wenn eine neue Version eines Pakets – insbesondere eine Neben- oder Patchversion – Code zur Kommunikation mit dem Netzwerk hinzufügt, ist das ein großes Warnsignal. Und so werden die Paketprobleme erkannt.

Die Kundenresonanz auf die digitalen Produkte und Dienstleistungen des Unternehmens war hervorragend! Das Unternehmen hat seit seiner Gründung in den zwei Monaten Tausende von Organisationen und Zehntausende von Repositories geschützt.

Die Kunden des Unternehmens sind Unternehmen, die sich vor Angriffen schützen wollen. Es dauert nur wenige Minuten, um sich durch die Installation der Unternehmens-App vor Angriffen auf die Lieferkette zu schützen.

Nächste Geschichte: Kaaruka – Eine frische Bekleidungsmarke für Kunstliebhaber!

Nachricht an Kunden und Zuschauer:

„Open-Source-Bibliotheken sind beliebter denn je. Da Open-Source-Code 80-90 % der meisten Codebasen ausmacht, ist es entscheidend, ihn effektiv zu verwalten, um das Sicherheitsrisiko eines Unternehmens zu verringern. Angriffe auf die Softwarelieferkette sind im vergangenen Jahr explodiert, und Open-Source-Komponenten werden zunehmend als Vektoren verwendet. Die Verwendung von Abhängigkeiten von Drittanbietern ohne ordnungsgemäße Überprüfung kann zu Hacking, Sicherheitsverletzungen und verschiedenen Sicherheitsproblemen führen. Socket erkennt Angriffe auf die Lieferkette, bevor eine Katastrophe eintritt, und verhindert Sicherheitsprobleme, die durch Open-Source-Code in Echtzeit verursacht werden. Socket bietet viel mehr als nur einfache Schwachstellen-Scans. Durch die direkte Integration in den Entwickler-Workflow verhindert Socket Angriffe, die Sie nicht erwarten – Malware, versteckter Code, Tippfehler und irreführende Pakete. Socket hilft Entwicklern, den Zustand ihrer Abhängigkeiten in den Griff zu bekommen, indem es ihnen mitteilt, welche Open Source sie verwenden, was sie tut (oder tun könnte) und welche Komponenten am stärksten gefährdet sind. Indem Sicherheitsinformationen direkt inline in GitHub und anderen Quellcodeverwaltungssystemen angezeigt werden, können Entwickler Sicherheitsprobleme vermeiden, bevor sie in die Produktion gelangen.“