GenelSiber Güvenlik

Checkmarx, Açık Kaynak Paketleri için Tehdit İstihbaratını Başlattı

teknomers
teknomers



Saldırı gruplarının, kötü amaçlı açık kaynak bileşenlerini uygulamalarına entegre etmeleri için yazılım geliştiricileri kandırdığı yazılım tedarik zinciri saldırıları artıyor. Geliştiricilerin kötü amaçlı paketleri belirlemesine yardımcı olmak için Checkmarx, yüzbinlerce kötü amaçlı paket, katkıda bulunanların itibarı ve kötü niyetli davranışlar hakkında ayrıntılı tehdit istihbaratı sunan bir API olan Supply Chain Threat Intelligence’ı kullanıma sundu.

Checkmarx, bağımlılık karışıklığı, yazım hatası ve zincirleme saldırı gibi saldırı türüne göre kötü amaçlı paketleri tanımladığını söylüyor. Ve katkıda bulunan itibarı, paketler içindeki anormal aktivite analiz edilerek hesaplanır.

Tedarik Zinciri Tehdit İstihbaratı, Checkmarx Labs tarafından tehdit istihbaratı araştırmasıve grubun 2022’de keşfettiği 150.878 kötü amaçlı paketi içerdiğini söylüyor. Checkmarx daha sonra ortaya çıkan tehditleri belirlemek için makine öğrenimi, eskiye dönük avlanma ve diller arası avlanma kullanır. Şirket ayrıca paketteki kodun nasıl çalıştığını anlamak için statik ve dinamik analiz kullanıyor.

Güvenlik, geliştirici iş akışının bir parçası olduğunda en iyi şekilde çalışır. Checkmarx, Supply Chain Threat Intelligence’ın yaygın olarak kullanılan geliştirici araçları ve ortamlarıyla entegre olduğunu söylüyor. Geliştirici, Checkmarx’tan benzersiz bir belirteç alır, bir paket adı ve sürüm numarasını gönderir ve istenen paketle ilgili tehdit istihbaratını alır. Geliştirici daha sonra paketin ne yaptığı, paketin kötü amaçlı olarak kabul edilip edilmediği ve paketle ilişkili geliştiricinin itibarı hakkında bilgi sahibi olur.

Checkmarx, raporlama paketlerinin saldırı gruplarını durdurmadığını çünkü yeni kukla hesaplar oluşturup bunları yayınlamaya devam ettiklerini söylüyor. Şirket, ekibin paket yöneticilerinden silindikten sonra bile bunları analiz etmeye devam edebilmesi için taranan tüm paketlerin bir veri gölünü tuttuğunu söylüyor. Bu, birden çok paketin aynı tehdit aktörüne bağlanmasına veya zaman içinde kalıpların ortaya çıkarılmasına yardımcı olabilir.

En son siber güvenlik tehditlerini, yeni keşfedilen güvenlik açıklarını, veri ihlali bilgilerini ve ortaya çıkan trendleri takip edin. Günlük veya haftalık olarak doğrudan e-posta gelen kutunuza teslim edilir.



siber-1

60.000 Rs’nin (Mart 2023) altındaki en iyi telefonlar: OnePlus 11 5G, Google Pixel 7’den Apple iPhone 13’e
Sleep Number’da Akıllı Yataklar İçin %15 İndirim Fırsatı!
Bir şey Titan’ın yörüngesini salladı ve bilim adamları gizemi çözmek için yarışıyor
Uluslararası pazar için tanıtılan Poco M4 5G, Hindistan versiyonundan önemli ölçüde farklıdır.
Final Fantasy 16’nın PC versiyonu nihayet resmileşti
ETİKETLENDİ:
Bu Makaleyi Paylaş
Önceki Makale Mass. Bill, Bağışlanan Organlar İçin Mahkumlara Yıl Boyunca İzin Veriyor
Sonraki Makale Redfall, Tek Oyuncuda Bile Her Zaman Çevrimiçi Olan Bir Oyundur

Sanal Medya

Son Eklenenler

Final Fantasy 7 Yeniliklerinde Sephiroth’a Beklenmedik Dokunuş
Oyun
Sriram Krishnan, Beyaz Saray’daki AI danışmanlığından ayrılıyor
Yapay Zeka
En Sevimli Oyunlar: Wholesome Direct 2026’dan Seçtiklerimiz
Liste
Oyun ses çubuğu 5 metre uzaktan ele geçirilebiliyor, risk yok mu?
Donanım
Teknolojinin Gizliliği Kaybettiği Günlere Özlem Duyuluyor
Liste
Trump yönetimi OpenAI’de hisse alabilir mi?
Yapay Zeka