• โฮมเพจ
  • บทความ
  • การตลาด
  • ซ็อกเก็ต – การรักษาความปลอดภัยซอฟต์แวร์โอเพ่นซอร์สจากการโจมตีของซัพพลายเชนด้วยการวิเคราะห์แพ็คเกจรุ่นต่อไป

ซ็อกเก็ต – การรักษาความปลอดภัยซอฟต์แวร์โอเพ่นซอร์สจากการโจมตีของซัพพลายเชนด้วยการวิเคราะห์แพ็คเกจรุ่นต่อไป

เผยแพร่แล้ว: 2022-05-30

ด้วยการถือกำเนิดและแพร่หลายของอินเทอร์เน็ต ธุรกิจต่างๆ ต่างพึ่งพาระบบดิจิทัลมากขึ้นเรื่อยๆ เพื่อความอยู่รอดและเจริญเติบโตในสภาพแวดล้อมทางธุรกิจในปัจจุบัน แต่ด้วยข้อได้เปรียบที่เกิดจากความก้าวหน้าทางเทคโนโลยี ทำให้มีปัญหาที่ธุรกิจเหล่านี้ต้องเผชิญ การละเมิดความปลอดภัยทางไซเบอร์เป็นปัญหาสำคัญสำหรับบริษัทต่างๆ ซึ่งสามารถสร้างความเสียหายได้มาก ดังนั้น เพื่อแก้ไขปัญหานี้ Socket จึงเปิดตัวแพลตฟอร์มความปลอดภัยทางไซเบอร์เพื่อช่วยให้บริษัทต่างๆ ป้องกันตนเองจากการโจมตีซัพพลายเชนของซอฟต์แวร์ ธุรกิจเหล่านี้ใช้แพลตฟอร์มการรักษาความปลอดภัยทางไซเบอร์เพื่อปกป้องแอปพลิเคชันซอฟต์แวร์และบริการที่สำคัญจากมัลแวร์และภัยคุกคามด้านความปลอดภัยที่มีต้นกำเนิดในรหัสโอเพนซอร์ซ

อ่านเพิ่มเติม: 7 เหตุผลว่าทำไมการจัดการทรัพยากรจึงมีความสำคัญสำหรับธุรกิจขนาดเล็ก

ก่อตั้งโดย Feross Aboukhadijeh บริษัทก่อตั้งขึ้นในปี 2564 โดยมีวิสัยทัศน์ในการปกป้องระบบนิเวศโอเพนซอร์สสำหรับบริษัทต่างๆ โดยมุ่งเน้นที่ซอฟต์แวร์โอเพ่นซอร์ส ซึ่งช่วยให้ทีมสร้างแอปพลิเคชันที่ทรงพลังได้ในเวลาอันสั้น นอกจากนี้ ทุกคนในกลุ่มสามารถตรวจสอบและร่วมให้ข้อมูลโค้ดได้ Abukhadijeh ตระหนักดีว่าในฐานะชุมชนที่ไว้วางใจโดยทั่วไป ผู้โจมตีบางคนใช้ประโยชน์จากความไว้วางใจและการเปิดกว้างนี้เพื่อดำเนินการโจมตีห่วงโซ่อุปทานอย่างโจ่งแจ้ง มีการเติบโตอย่างไม่เคยปรากฏมาก่อนในระดับของมัลแวร์โอเพนซอร์ซ นั่นคืออัตราการเพิ่มขึ้นที่เกี่ยวข้องกับการใช้ซอฟต์แวร์โอเพนซอร์สอย่างต่อเนื่อง

มีเหตุผลหลายประการที่พยายามแล้ว และวิธีการที่น่าเชื่อถือไม่ได้ผลในการปกป้องโอเพนซอร์ส อุตสาหกรรมความปลอดภัยทั้งหมดมักหมกมุ่นอยู่กับการสแกนหาช่องโหว่ที่ทราบ ซึ่งเป็นแนวทางที่มีปฏิกิริยาตอบสนองมากเกินไปในการหยุดการโจมตีของซัพพลายเชนที่ใช้งานอยู่ การเปิดรับแสงอาจใช้เวลาเป็นสัปดาห์หรือเป็นเดือนในการค้นพบ

ในวัฒนธรรมการพัฒนาที่รวดเร็วในปัจจุบัน การพึ่งพาที่เป็นอันตรายสามารถอัปเดต รวม และทำงานในเวอร์ชันที่ใช้งานจริงได้ในเวลาไม่กี่วันหรือหลายชั่วโมง เวลานี้ไม่เพียงพอสำหรับการสร้าง CVE และเข้าสู่เครื่องมือสแกนช่องโหว่ที่ทีมใช้

การโจมตีและจุดอ่อนของซัพพลายเชนนั้นแตกต่างกันมาก และพวกเขาต้องการวิธีแก้ปัญหาที่แตกต่างกันมาก:

️ ช่องโหว่เกิดขึ้นโดยไม่ได้ตั้งใจโดยผู้ดูแลโอเพ่นซอร์ส ในบางครั้ง การส่งช่องโหว่ไปยังการผลิตนั้นเป็นเรื่องที่ทำได้ หากมีผลกระทบต่ำ

️ การโจมตีของซัพพลายเชนได้รับการแนะนำโดยผู้โจมตีโดยเจตนา ไม่ควรส่งมัลแวร์เพื่อแสดง คุณต้องจับมันก่อนที่จะติดตั้งหรือขึ้นอยู่กับมัน

ทีมที่ต้องการจัดการกับการโจมตีซัพพลายเชนในปัจจุบันมีสองทางเลือก:

  • ทำการตรวจสอบแบบเต็ม – อ่านโค้ดทุกบรรทัดในการขึ้นต่อกันทั้งหมด มีบริษัทเพียงไม่กี่แห่งที่ทำเช่นนี้ แต่เป็นมาตรฐานทองคำในการป้องกันการโจมตีซัพพลายเชน ต้องใช้ทีมเต็มเวลาในการจัดการกระบวนการนี้ – การตรวจสอบ การอัปเดต รายการที่อนุญาต และการใช้แพตช์ความปลอดภัยที่สำคัญ แนวทางนี้ไม่สามารถเข้าถึงได้สำหรับทุกคน ยกเว้นบริษัทที่โดดเด่นที่สุดหรือแอปพลิเคชันที่มีความสำคัญต่อความปลอดภัยมากที่สุด งานเยอะ ช้า และแพง
  • ไม่ทำอะไรเลย - ไขว้นิ้วและหวังให้ดีที่สุด นี่คือตัวเลือกที่ทีมส่วนใหญ่ใช้ ในหน่วยส่วนใหญ่ นักพัฒนาสามารถติดตั้งการพึ่งพาใดๆ เพื่อให้งานเสร็จสิ้น และไม่มีใครดูโค้ดในการขึ้นต่อกันเหล่านี้ก่อนที่จะอนุมัติคำขอดึง อย่างที่คุณคาดไว้ วิธีการนี้ทำให้บริษัทต่างๆ เสี่ยงต่อการโจมตีของซัพพลายเชนโดยสิ้นเชิง

ไม่มีแนวทางใดที่เหมาะ

อ่านเพิ่มเติม: 10 เหตุผลที่การทดสอบซอฟต์แวร์เป็นอาชีพที่กำลังเติบโตในปัจจุบัน

ในขณะที่พัฒนาแอป Wormhole (เครื่องมือถ่ายโอนไฟล์ที่เข้ารหัสแบบ end-to-end) บริษัทประสบปัญหาในการเลือก จัดการ และอัปเดตการพึ่งพาโอเพนซอร์สท่ามกลางการโจมตีของซัพพลายเชนอย่างต่อเนื่อง สิ่งนี้นำไปสู่ความจำเป็นในการแก้ปัญหาอย่างร้ายแรง ดังนั้น บริษัทจึงตรวจสอบสิ่งที่ผู้โจมตีทำจริง ๆ เมื่อพวกเขาบุกรุกแพ็คเกจ เกือบทุกการโจมตีของห่วงโซ่อุปทานในระบบนิเวศ JavaScript เป็นไปตามรูปแบบที่คุ้นเคย เมื่อผู้โจมตีเข้าควบคุมแพ็คเกจได้แล้ว พวกเขาได้เพิ่มสคริปต์การติดตั้ง การเชื่อมต่อเครือข่าย คำสั่งเชลล์ การเข้าถึงระบบไฟล์ หรือโค้ดที่สร้างความสับสน คนอื่นใช้วิศวกรรมสังคม เช่น การนั่งยองๆ นี่เป็นแนวทางที่ถูกต้องสำหรับการแก้ปัญหา โซลูชันที่เป็นนวัตกรรมนี้อนุมานว่าแพ็คเกจโอเพ่นซอร์สทั้งหมดอาจเป็นอันตรายและทำงานย้อนกลับเพื่อตรวจหาสัญญาณของแพ็คเกจที่ถูกบุกรุกในเชิงรุก บริษัทแสวงหาวิธีที่ง่ายที่สุดในการลดความเสี่ยงนี้โดยไม่กระทบต่อการใช้งาน ดังนั้น พวกเขาจึงมุ่งมั่นที่จะช่วยให้นักพัฒนาใช้โอเพ่นซอร์สได้อย่างปลอดภัยโดยไม่ลดความเร็วของการพัฒนา หลายเดือนต่อมา Socket ได้เกิดขึ้นพร้อมกับแพ็คเกจโอเพ่นซอร์สยอดนิยม

บริษัทสามารถตรวจจับสัญญาณบอกเล่าของการโจมตีซัพพลายเชนโดยการวิเคราะห์แพ็คเกจโอเพนซอร์ซแบบคงที่และการพึ่งพาอาศัยกัน จากนั้นจะแจ้งเตือนนักพัฒนาเมื่อแพ็กเกจมีการเปลี่ยนแปลงในลักษณะที่เกี่ยวข้องกับความปลอดภัย โดยเน้นที่เหตุการณ์ เช่น การแนะนำสคริปต์การติดตั้ง โค้ดที่สับสน หรือการใช้ API ที่มีสิทธิพิเศษ เช่น เชลล์ เครือข่าย ระบบไฟล์ และตัวแปรสภาพแวดล้อม ตัวอย่างเช่น เพื่อตรวจสอบว่าแพ็คเกจใช้เครือข่ายหรือไม่ Socket จะพิจารณาว่าโมดูล fetch() โหนด net, dgram, DNS, HTTP หรือ HTTPS ถูกใช้ภายในแพ็คเกจหรือการอ้างอิงใดๆ หากแพ็คเกจเวอร์ชันใหม่ โดยเฉพาะเวอร์ชันรองหรือเวอร์ชันแพตช์ เพิ่มโค้ดเพื่อสื่อสารกับเครือข่าย นั่นเป็นแฟล็กสีแดงขนาดใหญ่ ดังนั้นปัญหาแพ็คเกจจะถูกตรวจพบ

การตอบสนองของลูกค้าต่อผลิตภัณฑ์และบริการดิจิทัลของบริษัทนั้นยอดเยี่ยมมาก! บริษัทได้ปกป้ององค์กรหลายพันแห่งและพื้นที่เก็บข้อมูลหลายหมื่นแห่งในสองเดือนนับตั้งแต่เปิดตัว

ลูกค้าของบริษัทประกอบด้วยธุรกิจที่ต้องการป้องกันตนเองจากการถูกโจมตี ใช้เวลาเพียงไม่กี่นาทีในการได้รับการปกป้องจากการโจมตีของซัพพลายเชนโดยการติดตั้งแอพของบริษัท

เรื่องถัดไป: Kaaruka – แบรนด์เสื้อผ้าสดใหม่สำหรับผู้ชื่นชอบศิลปะ!

ข้อความถึงลูกค้าและผู้ชม:

“ไลบรารีโอเพนซอร์ซได้รับความนิยมมากกว่าที่เคย ด้วยรหัสโอเพนซอร์ซซึ่งคิดเป็น 80-90% ของฐานรหัสส่วนใหญ่ การจัดการอย่างมีประสิทธิภาพเพื่อลดความเสี่ยงด้านความปลอดภัยขององค์กรจึงเป็นสิ่งสำคัญ การโจมตีซัพพลายเชนของซอฟต์แวร์ได้ระเบิดขึ้นในปีที่ผ่านมา และส่วนประกอบโอเพ่นซอร์สก็ถูกใช้เป็นเวกเตอร์มากขึ้นเรื่อยๆ การใช้การพึ่งพาบุคคลที่สามโดยไม่มีการตรวจสอบอย่างเหมาะสมสามารถนำไปสู่การแฮ็ก การละเมิด และปัญหาด้านความปลอดภัยต่างๆ Socket ตรวจจับการโจมตีของห่วงโซ่อุปทานก่อนเกิดภัยพิบัติ ป้องกันปัญหาด้านความปลอดภัยที่เกิดจากรหัสโอเพนซอร์ซแบบเรียลไทม์ ซ็อกเก็ตมีมากกว่าการสแกนช่องโหว่พื้นฐาน ด้วยการรวมเข้ากับเวิร์กโฟลว์ของนักพัฒนาโดยตรง Socket ช่วยป้องกันการโจมตีที่คุณไม่คาดคิด – มัลแวร์ รหัสที่ซ่อนอยู่ การสะกดผิด และแพ็คเกจที่ทำให้เข้าใจผิด ซ็อกเก็ตช่วยให้นักพัฒนาดูแลความสมบูรณ์ของการพึ่งพาของพวกเขาโดยบอกพวกเขาว่าพวกเขาใช้โอเพ่นซอร์สอะไรอยู่ กำลังทำอะไร (หรือสามารถทำได้) และส่วนประกอบใดที่มีความเสี่ยงสูงสุด การเปิดเผยข้อมูลความปลอดภัยแบบอินไลน์โดยตรงใน GitHub และระบบควบคุมต้นทางอื่น ๆ นักพัฒนาสามารถหลีกเลี่ยงปัญหาด้านความปลอดภัยก่อนที่จะนำไปใช้งานได้จริง”