Socket — защита программного обеспечения с открытым исходным кодом от атак на цепочку поставок с помощью анализа пакетов нового поколения

С появлением и повсеместностью Интернета предприятия все больше полагаются на цифровизацию, чтобы выжить и процветать в современной бизнес-среде. Но с преимуществами, которые дает технологический прогресс, есть проблемы, с которыми этим предприятиям необходимо бороться. Нарушение кибербезопасности является серьезной проблемой для компаний, которая может нанести большой ущерб. Итак, чтобы решить эту проблему, Socket запустила свою платформу кибербезопасности, чтобы помочь компаниям защитить себя от атак на цепочку поставок программного обеспечения. Эти предприятия используют платформу кибербезопасности для защиты своих программных приложений и критически важных служб от вредоносных программ и угроз безопасности, исходящих из открытого исходного кода.

Читайте также: 7 причин, почему управление ресурсами важно для малого бизнеса

Компания, основанная Фероссом Абухадиджехом, была основана в 2021 году с целью защиты экосистем с открытым исходным кодом для компаний. Его внимание было сосредоточено на программном обеспечении с открытым исходным кодом, которое позволяет командам создавать мощные приложения за более короткое время. Более того, любой участник группы может проверять и вносить свой вклад в код. Абухадиджех понял, что, поскольку сообщество в целом доверяет, некоторые злоумышленники пользуются этим доверием и открытостью для проведения наглых атак на цепочку поставок. Наблюдается беспрецедентный рост масштабов вредоносных программ с открытым исходным кодом. Таковы темпы роста опасений по поводу продолжающегося использования программного обеспечения с открытым исходным кодом.

Есть причины, по которым испробованные и проверенные подходы не сработали для защиты открытого исходного кода. Вся индустрия безопасности всегда была занята поиском известных уязвимостей, что было бы слишком реактивным подходом, чтобы остановить активную атаку на цепочку поставок. Обнаружение воздействия может занять недели или месяцы.

В современной культуре быстрой разработки вредоносная зависимость может быть обновлена, объединена и запущена в рабочей среде за дни или даже часы. Этого времени недостаточно для создания CVE и его использования в инструментах сканирования уязвимостей, которые используют команды.

Атаки и уязвимости цепочки поставок очень разные, и для них нужны разные решения:

️ Уязвимости случайно добавлены мейнтейнером с открытым исходным кодом. Иногда можно отправить уязвимость в рабочую среду, если она малоэффективна.

️ Атаки на цепочку поставок намеренно внедряются злоумышленником. НИКОГДА нельзя отправлять вредоносное ПО для демонстрации. Вы должны поймать его ДО того, как установите его или зависите от него.

У команд, которые хотят противостоять атакам на цепочку поставок, в настоящее время есть два варианта:

• Проведите полный аудит — прочитайте каждую строку кода во всех зависимостях. Очень немногие компании делают это, но это золотой стандарт предотвращения атак на цепочку поставок. Для управления этим процессом требуется штатная команда — аудиты, обновления, белый список и применение критических исправлений безопасности. Этот подход недоступен для всех, кроме самых известных компаний или наиболее важных для безопасности приложений. Работы много, медленно и дорого.
• Ничего не делайте — скрестите пальцы и надейтесь на лучшее. Это вариант, который выбирают большинство команд. В большинстве модулей любой разработчик может установить любую зависимость для выполнения работы, и никто даже не просматривает код в этих зависимостях, прежде чем одобрить запрос на вытягивание. Как и следовало ожидать, такой подход делает компании полностью уязвимыми для атак на цепочки поставок.

Ни один из подходов не идеален.

Читайте также: 10 причин, по которым тестирование программного обеспечения сегодня является растущей сферой карьеры

При разработке приложения Wormhole (инструмент для передачи файлов со сквозным шифрованием) компания столкнулась с проблемами выбора, управления и обновления зависимостей с открытым исходным кодом в условиях постоянного нападения на цепочку поставок. Это привело к необходимости острого решения проблемы. Итак, компания исследовала, что на самом деле делают злоумышленники после того, как они скомпрометировали пакет. Почти каждая атака на цепочку поставок в экосистеме JavaScript происходила по знакомой схеме. Как только злоумышленник получил контроль над пакетом, он добавил сценарии установки, сетевые подключения, команды оболочки, доступ к файловой системе или запутанный код. Другие использовали социальную инженерию, например, опечатку; это дало правильное направление для решения. Инновационное решение предполагает, что все пакеты с открытым исходным кодом могут быть вредоносными и работают в обратном направлении, чтобы заблаговременно обнаруживать признаки скомпрометированных пакетов. Компания искала самый простой способ снизить этот риск без ущерба для удобства использования. Итак, они решили помочь разработчикам безопасно использовать открытый исходный код, не жертвуя скоростью разработки. В последующие месяцы появился Socket со своими популярными пакетами с открытым исходным кодом.

Компания может обнаруживать явные признаки атаки на цепочку поставок, статически анализируя пакеты с открытым исходным кодом и их зависимости. Затем он уведомляет разработчиков, когда пакеты изменяются с точки зрения безопасности, выделяя такие события, как введение сценариев установки, запутанный код или использование привилегированных API, таких как переменные оболочки, сети, файловой системы и среды. Например, чтобы определить, использует ли пакет сеть, Socket проверяет, используются ли в пакете или любых его зависимостях модули fetch(), Node net, dgram, DNS, HTTP или HTTPS. Если новая версия пакета — особенно второстепенная или исправленная версия — добавляет код для связи с сетью, это огромный красный флаг. Итак, обнаружены проблемы с пакетом.

Реакция клиентов на цифровые продукты и услуги компании была звездной! За два месяца с момента запуска компания защитила тысячи организаций и десятки тысяч репозиториев.

Клиентами компании являются предприятия, которые хотят защитить себя от атак. Всего за несколько минут можно защититься от атак на цепочку поставок, установив приложение компании.

Следующая история: Kaaruka — свежий бренд одежды для любителей искусства!

Обращение к клиентам и зрителям:

«Библиотеки с открытым исходным кодом более популярны, чем когда-либо прежде. Поскольку код с открытым исходным кодом составляет 80-90% большинства кодовых баз, очень важно эффективно управлять им, чтобы снизить риск безопасности организации. Атаки на цепочки поставок программного обеспечения резко возросли в прошлом году, и компоненты с открытым исходным кодом все чаще используются в качестве векторов. Использование сторонних зависимостей без надлежащей проверки может привести к взлому, взлому и различным проблемам безопасности. Socket обнаруживает атаки цепочки поставок до того, как произойдет катастрофа, предотвращая проблемы безопасности, вызванные открытым исходным кодом, в режиме реального времени. Socket предлагает гораздо больше, чем простое сканирование уязвимостей. Интегрируясь непосредственно в рабочий процесс разработчика, Socket предотвращает неожиданные атаки — вредоносное ПО, скрытый код, опечатки и вводящие в заблуждение пакеты. Socket помогает разработчикам следить за состоянием своих зависимостей, сообщая им, какой открытый исходный код они используют, что он делает (или может делать) и какие компоненты подвергаются наибольшему риску. Предоставляя информацию о безопасности непосредственно в GitHub и других системах управления версиями, разработчики могут избежать проблем с безопасностью, прежде чем запускать ее в производство».