Socket – Yeni Nesil Paket Analizi ile Açık Kaynak Yazılımı Tedarik Zinciri Saldırılarına Karşı Güvence Altına Alma

İnternetin gelişi ve her yerde bulunmasıyla birlikte işletmeler, günümüzün iş ortamında hayatta kalmak ve gelişmek için dijitalleşmeye giderek daha fazla güveniyor. Ancak teknolojik gelişmelerin getirdiği avantajlarla birlikte bu işletmelerin de baş etmesi gereken sorunlar var. Siber güvenlik ihlali, şirketler için çok fazla zarara neden olabilecek önemli bir konudur. Bu nedenle, bu sorunu çözmek için Socket, şirketlerin kendilerini yazılım tedarik zinciri saldırılarına karşı korumalarına yardımcı olmak için siber güvenlik platformunu başlattı. Bu işletmeler, yazılım uygulamalarını ve kritik hizmetlerini açık kaynak kodundan kaynaklanan kötü amaçlı yazılım ve güvenlik tehditlerinden korumak için siber güvenlik platformunu kullanır.

Ayrıca Okuyun: Küçük İşletmeler için Kaynak Yönetiminin Neden Önemli Olduğu 7 Neden

Feross Aboukhadijeh tarafından kurulan şirket, şirketler için açık kaynak ekosistemlerini koruma vizyonuyla 2021 yılında kuruldu. Odak noktası, ekiplerin daha kısa sürede güçlü uygulamalar oluşturmasını sağlayan açık kaynaklı yazılımdı. Ayrıca, gruptaki herkes kodu inceleyebilir ve katkıda bulunabilir. Aboukhadijeh, genel olarak güven duyan bir topluluk olarak, bazı saldırganların küstah tedarik zinciri saldırıları gerçekleştirmek için bu güven ve açıklıktan yararlandığını fark etti. Açık kaynaklı kötü amaçlı yazılım ölçeğinde benzeri görülmemiş bir büyüme oldu. Açık kaynaklı yazılımların sürekli kullanımıyla ilgili endişelerin dolaştığı artış oranı budur.

Açık kaynağı korumak için denenmiş ve güvenilir yaklaşımların işe yaramamasının nedenleri var. Tüm güvenlik endüstrisi, aktif bir tedarik zinciri saldırısını durdurmak için çok reaktif bir yaklaşım olan bilinen güvenlik açıklarını taramakla her zaman meşgul olmuştur. Maruziyetlerin keşfedilmesi haftalar veya aylar alabilir.

Günümüzün hızlı gelişme kültüründe, kötü niyetli bir bağımlılık, günler hatta saatler içinde güncellenebilir, birleştirilebilir ve üretimde çalıştırılabilir. Bu, bir CVE'nin oluşturulması ve ekiplerin kullandığı güvenlik açığı tarama araçlarına girmesi için yeterli zaman değil.

Tedarik zinciri saldırıları ve güvenlik açıkları çok farklıdır ve çok farklı çözümlere ihtiyaç duyarlar:

️ Güvenlik açıkları yanlışlıkla bir açık kaynak sağlayıcısı tarafından ortaya çıkar. Bazen, etkisi düşükse, bir güvenlik açığını üretime göndermek sorun değildir.

️ Tedarik zinciri saldırıları, bir saldırgan tarafından kasıtlı olarak başlatılır. Göstermek için kötü amaçlı yazılım göndermek ASLA uygun değildir. Yüklemeden veya ona bağlı olmadan ÖNCE onu yakalamalısınız.

Tedarik zinciri saldırılarını ele almak isteyen ekiplerin şu anda iki seçeneği var:

• Tam denetim yapın – Tüm bağımlılıklardaki her kod satırını okuyun. Çok az şirket bunu yapıyor, ancak tedarik zinciri saldırılarını önlemek için altın standart. Denetimler, güncellemeler, izin verilenler listesi ve kritik güvenlik yamalarının uygulanması gibi bu süreci yönetmek için tam zamanlı bir ekip gerekir. Bu yaklaşım, en önde gelen şirketler veya güvenlik açısından en kritik uygulamalar dışında herkes için erişilemez. Çok iş, yavaş ve pahalı.
• Hiçbir şey yapmayın - Parmaklarınızı çaprazlayın ve en iyisini umut edin. Bu, çoğu takımın kullandığı seçenektir. Çoğu birimde, herhangi bir geliştirici işi halletmek için herhangi bir bağımlılığı yükleyebilir ve hiç kimse çekme talebini onaylamadan önce bu bağımlılıklardaki koda bile bakmaz. Tahmin edebileceğiniz gibi, bu yaklaşım şirketleri tedarik zinciri saldırılarına karşı tamamen savunmasız bırakıyor.

Her iki yaklaşım da ideal değildir.

Ayrıca Okuyun: Yazılım Testinin Günümüzde Büyüyen Bir Kariyer Alanı Olmasının 10 Nedeni

Şirket, Wormhole uygulamasını (uçtan uca şifreli bir dosya aktarım aracı) geliştirirken, sürekli bir tedarik zinciri saldırılarının ortasında açık kaynak bağımlılıklarını seçme, yönetme ve güncelleme zorluklarını yaşadı. Bu, soruna acil bir çözüm bulma ihtiyacına yol açtı. Ve böylece şirket, bir paketi ele geçirdikten sonra saldırganların gerçekte ne yaptığını araştırdı. JavaScript ekosistemindeki neredeyse her tedarik zinciri saldırısı, tanıdık bir model izledi. Saldırgan bir paketin kontrolünü ele geçirdiğinde, kurulum komut dosyaları, ağ bağlantıları, kabuk komutları, dosya sistemi erişimi veya gizlenmiş kod eklediler. Diğerleri, yazım hatası gibi sosyal mühendislik kullandı; bu, bir çözüm için doğru yönü sağladı. Yenilikçi çözüm, tüm açık kaynak paketlerinin kötü niyetli olabileceğini ve güvenliği ihlal edilmiş paketlerin işaretlerini proaktif olarak algılamak için geriye doğru çalıştığını varsayar. Şirket, kullanılabilirliğe zarar vermeden bu riski azaltmanın en basit yolunu aradı. Ve böylece, geliştiricilerin geliştirme hızından ödün vermeden açık kaynağı güvenli bir şekilde kullanmalarına yardımcı olmak için yola çıktılar. Takip eden aylarda, popüler açık kaynak paketleri ile Socket ortaya çıktı.

Şirket, açık kaynaklı paketleri ve bunların bağımlılıklarını statik olarak analiz ederek bir tedarik zinciri saldırısının açık işaretlerini tespit edebilir. Ardından, paketler güvenlikle ilgili şekillerde değiştiğinde geliştiricileri uyarır, yükleme komut dosyalarının tanıtımı, gizlenmiş kod veya kabuk, ağ, dosya sistemi ve ortam değişkenleri gibi ayrıcalıklı API'lerin kullanımı gibi olayları vurgular. Örneğin, bir paketin ağı kullanıp kullanmadığını tespit etmek için Socket, pakette veya herhangi bir bağımlılıkta fetch(), Node'un net, dgram, DNS, HTTP veya HTTPS modüllerinin kullanılıp kullanılmadığına bakar. Bir paketin yeni bir sürümü - özellikle küçük veya yama sürümü - ağ ile iletişim kurmak için kod eklerse, bu çok büyük bir kırmızı bayraktır. Ve böylece Paket sorunları tespit edilir.

Şirketin dijital ürünlerine ve hizmetlerine müşteri yanıtı muhteşem oldu! Şirket, lansmanından bu yana iki ay içinde binlerce kuruluşu ve on binlerce depoyu koruyor.

Şirketin müşterileri, kendilerini saldırılardan korumak isteyen işletmelerden oluşuyor. Şirket uygulamasını yükleyerek tedarik zinciri saldırılarından korunmak sadece birkaç dakika sürer.

Sonraki Hikaye: Kaaruka – Sanat Meraklıları İçin Yeni Bir Giyim Markası!

Müşterilere ve izleyicilere mesaj:

“Açık kaynak kitaplıkları her zamankinden daha popüler. Çoğu kod tabanının %80-90'ını oluşturan açık kaynak koduyla, bir kuruluşun güvenlik riskini azaltmak için onu etkin bir şekilde yönetmek kritik önem taşır. Yazılım tedarik zinciri saldırıları geçtiğimiz yıl patlama yaşadı ve açık kaynak bileşenleri giderek vektör olarak kullanılıyor. Uygun inceleme yapılmadan üçüncü taraf bağımlılıklarını kullanmak, bilgisayar korsanlığına, ihlallere ve çeşitli güvenlik sorunlarına yol açabilir. Socket, tedarik zinciri saldırılarını felaketlerden önce algılayarak, açık kaynak kodunun neden olduğu güvenlik sorunlarını gerçek zamanlı olarak önler. Socket, temel güvenlik açığı taramasından çok daha fazlasını sunar. Socket, doğrudan geliştirici iş akışına entegre olarak, kötü amaçlı yazılım, gizli kod, yazım hatası ve yanıltıcı paketler gibi beklemediğiniz saldırıları önler. Socket, geliştiricilere hangi açık kaynağı kullandıklarını, ne yaptığını (veya yapabileceğini) ve hangi bileşenlerin en yüksek risk altında olduğunu söyleyerek bağımlılıklarının sağlığından sorumlu olmalarına yardımcı olur. Geliştiriciler, güvenlik bilgilerini doğrudan GitHub'da ve diğer kaynak kontrol sistemlerinde ortaya çıkararak, üretime geçmeden önce güvenlik sorunlarından kaçınabilir."