Socket – Mengamankan Perangkat Lunak Sumber Terbuka Terhadap Serangan Rantai Pasokan Dengan Analisis Paket Generasi Berikutnya

Dengan munculnya dan di mana-mana internet, bisnis semakin mengandalkan digitalisasi untuk bertahan dan berkembang di lingkungan bisnis saat ini. Tetapi dengan keuntungan yang dibawa oleh kemajuan teknologi, ada masalah yang harus dihadapi oleh bisnis ini. Pelanggaran keamanan siber adalah masalah signifikan bagi perusahaan, yang dapat menyebabkan banyak kerusakan. Jadi, untuk mengatasi masalah ini, Socket meluncurkan platform keamanan siber untuk membantu perusahaan melindungi diri mereka dari serangan rantai pasokan perangkat lunak. Bisnis ini menggunakan platform keamanan siber untuk melindungi aplikasi perangkat lunak dan layanan penting mereka dari malware dan ancaman keamanan yang berasal dari kode sumber terbuka.

Baca Juga: 7 Alasan Mengapa Manajemen Sumber Daya Penting untuk Usaha Kecil

Didirikan oleh Feross Aboukhadijeh, perusahaan ini didirikan pada tahun 2021 dengan visi untuk melindungi ekosistem open-source bagi perusahaan. Fokusnya adalah pada perangkat lunak open source, yang memungkinkan tim untuk membangun aplikasi yang kuat dalam waktu yang lebih singkat. Selain itu, siapa pun dalam grup dapat memeriksa dan berkontribusi pada kode. Aboukhadijeh menyadari bahwa sebagai komunitas yang umumnya saling percaya, beberapa penyerang memanfaatkan kepercayaan dan keterbukaan ini untuk melakukan serangan rantai pasokan yang kurang ajar. Ada pertumbuhan yang belum pernah terjadi sebelumnya dalam skala malware open-source. Begitulah tingkat peningkatan kekhawatiran yang beredar tentang kelanjutan penggunaan perangkat lunak sumber terbuka.

Ada alasan mengapa mencoba, dan pendekatan tepercaya tidak berhasil untuk melindungi sumber terbuka. Seluruh industri keamanan selalu disibukkan dengan pemindaian kerentanan yang diketahui, pendekatan yang terlalu reaktif untuk menghentikan serangan rantai pasokan aktif. Eksposur dapat memakan waktu berminggu-minggu atau berbulan-bulan untuk ditemukan.

Dalam budaya perkembangan pesat saat ini, ketergantungan berbahaya dapat diperbarui, digabungkan, dan dijalankan dalam produksi dalam hitungan hari atau bahkan jam. Ini tidak cukup waktu untuk membuat CVE dan masuk ke alat pemindaian kerentanan yang digunakan tim.

Serangan dan kerentanan rantai pasokan sangat berbeda, dan mereka membutuhkan solusi yang sangat berbeda:

️ Kerentanan secara tidak sengaja diperkenalkan oleh pengelola sumber terbuka. Terkadang, mengirimkan kerentanan terhadap produksi tidak masalah jika berdampak rendah.

️ Serangan rantai pasokan sengaja diperkenalkan oleh penyerang. TIDAK PERNAH boleh mengirim malware untuk ditampilkan. Anda harus menangkapnya SEBELUM Anda menginstalnya atau bergantung padanya.

Tim yang ingin mengatasi serangan rantai pasokan saat ini memiliki dua opsi:

• Lakukan audit penuh – Baca setiap baris kode di semua dependensi. Sangat sedikit perusahaan yang melakukan ini, tetapi ini adalah standar emas untuk mencegah serangan rantai pasokan. Dibutuhkan tim penuh waktu untuk mengelola proses ini – audit, pembaruan, daftar yang diizinkan, dan penerapan patch keamanan penting. Pendekatan ini tidak dapat dijangkau oleh semua kecuali perusahaan yang paling menonjol atau aplikasi yang paling kritis terhadap keamanan. Banyak pekerjaan, lambat, dan mahal.
• Tidak melakukan apa-apa – Silangkan jari Anda dan berharap yang terbaik. Ini adalah opsi yang diambil sebagian besar tim. Pada sebagian besar unit, pengembang mana pun dapat memasang dependensi apa pun untuk menyelesaikan pekerjaan, dan bahkan tidak ada yang melihat kode dalam dependensi ini sebelum menyetujui permintaan tarik. Seperti yang Anda duga, pendekatan ini membuat perusahaan sepenuhnya rentan terhadap serangan rantai pasokan.

Tidak ada pendekatan yang ideal.

Baca Juga: 10 Alasan Mengapa Pengujian Perangkat Lunak Menjadi Bidang Karir yang Berkembang Saat Ini

Saat mengembangkan aplikasi Wormhole (alat transfer file terenkripsi ujung ke ujung), perusahaan mengalami tantangan dalam memilih, mengelola, dan memperbarui dependensi open source di tengah serangan gencar serangan rantai pasokan. Hal ini menyebabkan perlunya solusi yang serius untuk masalah tersebut. Jadi, perusahaan menyelidiki apa yang sebenarnya dilakukan penyerang setelah mereka mengkompromikan sebuah paket. Hampir setiap serangan rantai pasokan di ekosistem JavaScript mengikuti pola yang sudah dikenal. Setelah penyerang mendapatkan kendali atas sebuah paket, mereka menambahkan skrip instalasi, koneksi jaringan, perintah shell, akses sistem file, atau kode yang dikaburkan. Yang lain menggunakan rekayasa sosial, seperti salah ketik; ini memberikan arah yang tepat untuk solusi. Solusi inovatif mengasumsikan bahwa semua paket open source mungkin berbahaya dan bekerja mundur untuk secara proaktif mendeteksi tanda-tanda paket yang disusupi. Perusahaan mencari cara paling sederhana untuk mengurangi risiko ini tanpa merusak kegunaan. Jadi, mereka mulai membantu pengembang menggunakan sumber terbuka dengan aman tanpa mengorbankan kecepatan pengembangan. Selama bulan-bulan berikutnya, Socket muncul dengan paket open source yang populer.

Perusahaan dapat mendeteksi tanda-tanda serangan rantai pasokan dengan menganalisis paket sumber terbuka dan dependensinya secara statis. Ini kemudian memberi tahu pengembang ketika paket berubah dengan cara yang relevan dengan keamanan, menyoroti peristiwa seperti pengenalan skrip instalasi, kode yang dikaburkan, atau penggunaan API istimewa seperti shell, jaringan, sistem file, dan variabel lingkungan. Misalnya, untuk mendeteksi apakah suatu paket menggunakan jaringan, Socket melihat apakah modul fetch(), net Node, dgram, DNS, HTTP, atau HTTPS digunakan dalam paket atau dependensinya. Jika versi baru dari sebuah paket – terutama versi minor atau patch – menambahkan kode untuk berkomunikasi dengan jaringan, itu adalah tanda bahaya besar. Jadi, masalah Paket terdeteksi.

Tanggapan pelanggan terhadap produk dan layanan digital perusahaan sangat luar biasa! Perusahaan telah melindungi ribuan organisasi dan puluhan ribu repositori dalam dua bulan sejak diluncurkan.

Pelanggan perusahaan terdiri dari bisnis yang ingin melindungi diri dari serangan. Hanya perlu beberapa menit untuk mendapatkan perlindungan dari serangan rantai pasokan dengan menginstal aplikasi perusahaan.

Next Story: Kaaruka – Merek Pakaian Baru untuk Penggemar Seni!

Pesan untuk pelanggan dan pemirsa:

“Perpustakaan open-source lebih populer dari sebelumnya. Dengan kode sumber terbuka yang membentuk 80-90% dari sebagian besar basis kode, sangat penting untuk mengelolanya secara efektif untuk mengurangi risiko keamanan organisasi. Serangan rantai pasokan perangkat lunak telah meledak pada tahun lalu, dan komponen open source semakin banyak digunakan sebagai vektor. Menggunakan dependensi pihak ketiga tanpa pemeriksaan yang tepat dapat menyebabkan peretasan, pelanggaran, dan berbagai masalah keamanan. Socket mendeteksi serangan rantai pasokan sebelum terjadi bencana, mencegah masalah keamanan yang disebabkan oleh kode sumber terbuka secara real-time. Socket menawarkan lebih dari sekadar pemindaian kerentanan dasar. Dengan mengintegrasikan langsung ke dalam alur kerja pengembang, Socket mencegah serangan yang tidak Anda duga – malware, kode tersembunyi, kesalahan ketik, dan paket yang menyesatkan. Socket membantu pengembang mengambil alih kesehatan dependensi mereka dengan memberi tahu mereka open source apa yang mereka gunakan, apa yang dilakukannya (atau dapat dilakukan), dan komponen mana yang berisiko paling tinggi. Dengan memunculkan informasi keamanan secara langsung di GitHub dan sistem kontrol sumber lainnya, pengembang dapat menghindari masalah keamanan sebelum membuatnya menjadi produksi.”