소켓 – 차세대 패키지 분석으로 공급망 공격으로부터 오픈 소스 소프트웨어 보호

인터넷의 출현과 편재로 인해 기업은 오늘날의 비즈니스 환경에서 생존하고 번성하기 위해 디지털화에 점점 더 의존하고 있습니다. 그러나 기술 발전으로 인한 이점과 함께 이러한 기업이 해결해야 하는 문제가 있습니다. 사이버 보안 위반은 기업에 중대한 문제로 막대한 피해를 입힐 수 있습니다. 따라서 이 문제를 해결하기 위해 Socket은 기업이 소프트웨어 공급망 공격으로부터 스스로를 보호할 수 있도록 사이버 보안 플랫폼을 출시했습니다. 이러한 기업은 사이버 보안 플랫폼을 사용하여 오픈 소스 코드에서 비롯된 맬웨어 및 보안 위협으로부터 소프트웨어 애플리케이션 및 중요 서비스를 보호합니다.

또한 읽기: 리소스 관리가 중소기업에 중요한 7가지 이유

Feross Aboukhadijeh가 설립한 이 회사는 기업을 위한 오픈 소스 생태계를 보호한다는 비전으로 2021년에 설립되었습니다. 팀이 더 짧은 시간에 강력한 애플리케이션을 구축할 수 있도록 하는 오픈 소스 소프트웨어에 초점을 맞췄습니다. 또한 그룹의 누구나 코드를 검사하고 기여할 수 있습니다. Aboukhadijeh는 일반적으로 신뢰하는 커뮤니티로서 일부 공격자가 이러한 신뢰와 개방성을 활용하여 뻔뻔한 공급망 공격을 수행한다는 것을 깨달았습니다. 오픈 소스 맬웨어의 규모가 전례 없이 증가했습니다. 오픈 소스 소프트웨어의 지속적인 사용에 대한 우려가 확산되는 증가율입니다.

오픈 소스를 보호하기 위해 시도했지만 신뢰할 수 있는 접근 방식이 작동하지 않은 데는 이유가 있습니다. 전체 보안 산업은 항상 알려진 취약성을 검색하는 데 몰두해 왔으며, 활성 공급망 공격을 막기에는 너무 반응적인 접근 방식이었습니다. 노출이 발견되는 데 몇 주 또는 몇 달이 걸릴 수 있습니다.

오늘날의 빠른 개발 문화에서는 악의적인 종속성이 업데이트, 병합 및 프로덕션 환경에서 며칠 또는 몇 시간 만에 실행될 수 있습니다. CVE가 생성되어 팀이 사용하는 취약점 검색 도구에 적용되기에는 시간이 충분하지 않습니다.

공급망 공격과 취약성은 매우 다르며 매우 다른 솔루션이 필요합니다.

️ 취약점은 오픈 소스 유지 관리자에 의해 우연히 도입되었습니다. 영향이 적은 경우 취약성을 프로덕션에 배포해도 괜찮습니다.

️ 공급망 공격은 공격자가 의도적으로 도입합니다. 보여주기 위해 맬웨어를 보내는 것은 절대 허용되지 않습니다. 설치하거나 의존하기 전에 잡아야 합니다.

공급망 공격을 해결하려는 팀에는 현재 두 가지 옵션이 있습니다.

• 전체 감사 수행 – 모든 종속 항목의 모든 코드 줄을 읽습니다. 이를 수행하는 회사는 거의 없지만 공급망 공격을 방지하기 위한 표준입니다. 감사, 업데이트, 허용 목록, 중요한 보안 패치 적용 등 이 프로세스를 관리하려면 전임 팀이 필요합니다. 이 접근 방식은 가장 눈에 띄는 회사나 가장 보안이 중요한 응용 프로그램을 제외하고는 모두 접근할 수 없습니다. 작업량이 많고 느리고 비용이 많이 듭니다.
• 아무 것도 하지 마십시오 . 최선을 다하고 최선을 다하십시오. 이것은 대부분의 팀이 선택하는 옵션입니다. 대부분의 유닛에서 모든 개발자는 모든 종속성을 설치하여 작업을 완료할 수 있으며 아무도 pull 요청을 승인하기 전에 이러한 종속성의 코드를 살펴보지도 않습니다. 예상할 수 있듯이 이 접근 방식은 기업을 공급망 공격에 완전히 취약하게 만듭니다.

어떤 접근 방식도 이상적이지 않습니다.

또한 읽기: 오늘날 소프트웨어 테스팅이 성장하는 직업 분야인 10가지 이유

Wormhole 앱(종단 간 암호화된 파일 전송 도구)을 개발하는 동안 회사는 공급망 공격의 지속적인 맹공격 속에서 오픈 소스 종속성을 선택, 관리 및 업데이트하는 문제를 경험했습니다. 이것은 문제에 대한 심각한 해결책의 필요성으로 이어졌습니다. 그래서 회사는 공격자가 패키지를 손상시킨 후 실제로 무엇을 하는지 조사했습니다. JavaScript 생태계의 거의 모든 공급망 공격은 익숙한 패턴을 따랐습니다. 공격자가 패키지를 제어하면 설치 스크립트, 네트워크 연결, 셸 명령, 파일 시스템 액세스 또는 난독화된 코드를 추가했습니다. 다른 사람들은 typo-squatting과 같은 사회 공학을 사용했습니다. 이것은 솔루션에 대한 올바른 방향을 제공했습니다. 혁신적인 솔루션은 모든 오픈 소스 패키지가 악의적일 수 있으며 손상된 패키지의 징후를 사전에 감지하기 위해 역방향으로 작동한다고 가정합니다. 회사는 사용성을 해치지 않으면서 이러한 위험을 완화할 수 있는 가장 간단한 방법을 찾았습니다. 그래서 그들은 개발자들이 개발 속도를 희생하지 않으면서 안전하게 오픈 소스를 사용할 수 있도록 돕기 시작했습니다. 다음 몇 달 동안 Socket은 인기 있는 오픈 소스 패키지와 함께 등장했습니다.

회사는 오픈 소스 패키지와 해당 종속성을 정적으로 분석하여 공급망 공격의 명백한 징후를 감지할 수 있습니다. 그런 다음 패키지가 보안 관련 방식으로 변경될 때 개발자에게 경고하여 설치 스크립트, 난독화된 코드 또는 셸, 네트워크, 파일 시스템 및 환경 변수와 같은 권한 있는 API 사용과 같은 이벤트를 강조 표시합니다. 예를 들어, 패키지가 네트워크를 사용하는지 감지하기 위해 Socket은 fetch(), Node의 net, dgram, DNS, HTTP 또는 HTTPS 모듈이 패키지 또는 해당 종속성 내에서 사용되는지 확인합니다. 패키지의 새 버전(특히 부 버전 또는 패치 버전)이 네트워크와 통신하기 위한 코드를 추가하는 경우 이는 큰 위험 신호입니다. 따라서 패키지 문제가 감지됩니다.

회사의 디지털 제품 및 서비스에 대한 고객의 반응은 대단했습니다! 이 회사는 출시 이후 두 달 동안 수천 개의 조직과 수만 개의 저장소를 보호해 왔습니다.

회사의 고객은 공격으로부터 자신을 보호하려는 기업으로 구성됩니다. 회사 앱을 설치하여 공급망 공격으로부터 보호받는 데 몇 분 밖에 걸리지 않습니다.

다음 이야기: Kaaruka – 예술 애호가를 위한 신선한 의류 브랜드!

고객 및 시청자에게 보내는 메시지:

“오픈 소스 라이브러리는 그 어느 때보다 대중적입니다. 오픈 소스 코드가 대부분의 코드베이스의 80-90%를 차지하므로 조직의 보안 위험을 줄이기 위해 이를 효과적으로 관리하는 것이 중요합니다. 소프트웨어 공급망 공격은 작년에 폭발적으로 증가했으며 오픈 소스 구성 요소가 벡터로 점점 더 많이 사용됩니다. 적절한 검증 없이 타사 종속성을 사용하면 해킹, 침해 및 다양한 보안 문제가 발생할 수 있습니다. 소켓은 재난이 발생하기 전에 공급망 공격을 감지하여 실시간으로 오픈 소스 코드로 인한 보안 문제를 방지합니다. 소켓은 기본적인 취약점 스캐닝 이상의 기능을 제공합니다. Socket은 개발자 워크플로에 직접 통합되어 예상하지 못한 공격(맬웨어, 숨겨진 코드, 오타, 오도하는 패키지)을 방지합니다. Socket은 개발자가 사용 중인 오픈 소스, 수행 중인(또는 할 수 있는) 및 가장 위험한 구성 요소를 알려줌으로써 개발자가 종속성의 상태를 관리할 수 있도록 도와줍니다. GitHub 및 기타 소스 제어 시스템에서 보안 정보를 인라인으로 직접 표시함으로써 개발자는 프로덕션에 적용하기 전에 보안 문제를 피할 수 있습니다."