(Çizim: Pixabay)
Açık Kaynak Güvenlik Vakfı (OpenSSF, Linux Vakfına bağlı) duyuru kötü niyetli eklemeleri tespit etmek için açık kaynak depolarını analiz etmek için bir aracın oluşturulması. Paket Analizi adlı bu proje, sunmak Microsoft, AWS (Amazon’un bulut şubesi), GitHub, Canonical, Cisco, Meta (Facebook), Dell, Huawei, HP, Intel, Tencent, IBM, Red Hat, Spotify, yakın zamanda Samsung ile birlikte OpenSSF üyelerinden biri olan Google tarafından ve diğerleri.
Kötü niyetli aktörler için “çok kolay”
Bu program, popüler açık kaynak havuzlarından indirilen paketlerin dinamik bir analizini gerçekleştirir ve sonuçları bir BigQuery tablosunda derler. Google’da kıdemli yazılım mühendisi olan Caleb Brown’a göre, açık kaynaklı yazılımın günümüzde teknolojideki temel rolüne rağmen, kötü niyetli aktörlerin sistemlere ve bu yazılımın kullanıcılarına saldıran zararlı paketleri dağıtması çok kolay. “Kötü niyetli katkıları arayıp reddedebilen mobil uygulama mağazalarının aksine, paket depoları binlerce günlük güncellemeyi gözden geçirmek için sınırlı kaynaklara sahiptir ve daha sonra herkesin katkıda bulunabileceği açık bir modeli sürdürmek zorundadır.”
Caleb Brown, zararlı faaliyetleri tespit ederek ve tüketicileri paketleri seçmeden önce şüpheli davranışlar konusunda uyararak, programın “daha güvenli bir yazılım tedarik zincirine ve açık kaynaklı yazılıma daha fazla güvene katkıda bulunduğunu” ekliyor.
Bir ayda 200 kötü amaçlı paket
Google, programının bir ay içinde tespit ettiği şeylere, çoğu düşük seviyeli, siber güvenlik araştırmacıları “hata ödülü” türündeki ödül avcılarına atfedilen yaklaşık 200 kötü amaçlı pakete örnekler verir.
Caleb Brown ve Linux Vakfı’nda Açık Kaynak Tedarik Zinciri Güvenliği direktörü David A. Wheeler tarafından ortak imzalanan OpenSSF duyurusunda, Kritik Projelerin Güvenliğini Sağlama Çalışma Grubu Çalışma Grubu’nun bir parçası olarak), davetiye diğer katkıda bulunanlara iletilir. “Zaman içinde paket davranışındaki farklılıkları tespit etmek, paket analizi sonuçlarının işlenmesini otomatikleştirmek, bunları uzun vadeli analiz için işlenirken depolamak ve yazılım hattının güvenilirliğini geliştirmek” olan gelecekteki hedefler.
Ayrıca okuyun
Google artık sizi web’deki şüpheli dosyalar hakkında uyaracak – 29 Nisan 2022
Google ve Microsoft, açık kaynaklı yazılım güvenliğini finanse ediyor – 13 Şubat 2022
Açık Kaynak Güvenliği Vakfı: Daha İyi Güvenli Paket – 4 Ağustos 2020