Açık kaynak havuzlarını tedarik zinciri saldırılarına karşı koruyan yeni bir hizmet olan Google Assured Open Source Software (Assured OSS) artık herkesin kullanımına sunuldu.
Hizmeti ilk kez duyurduktan bir yıl sonra, Google bu hafta başlarında hizmeti genel kullanıma açtı ve fiyatlandırmasıyla ilgili spekülasyonlar arasında sürpriz bir şekilde ücretsiz olarak sunmaya karar verdi. Assured OSS’yi denemek isteyenlerin yalnızca yeni bir hesap açmaları yeterlidir.
Bugün, yazılım geliştirme büyük ölçüde açık kaynak koduna dayanmaktadır. Dünyanın her yerinden geliştiriciler, daha sonra GitHub, PyPI ve diğerleri gibi havuzlar aracılığıyla daha geniş geliştirme topluluğuyla paylaşılan kod parçacıkları oluşturur. Bu, diğer geliştiricilerin, öğeleri sıfırdan oluşturmak için aşırı saatler harcamak zorunda kalmadan bu kodu alıp çözümlerinde uygulamasına olanak tanır.
İyi niyeti kötüye kullanmak
Ancak bu durum tehdit aktörleri için de eşsiz bir fırsat sunuyor. Geliştirici hesaplarına girerlerse, mevcut paketleri kötü amaçlı kodla değiştirebilirler. Bu kötü amaçlı kod birden çok çözüme entegre edilirse, bilgisayar korsanlarının hassas verileri çalması, ikinci aşama kötü amaçlı yazılımları dağıtması ve daha fazlası için çok sayıda kapı açar.
Bilgisayar korsanları, hesaplara girmeseler bile, genellikle yazım hatası yaparak meşru paketlerle neredeyse aynı görünen paketler oluştururlar. Bu şekilde, çok çalışan geliştiriciler veya zamanı kısıtlı olanlar yanlışlıkla yanlış paketi indirebilir ve dolayısıyla ürünlerini tehlikeye atabilir.
“Tedarik zinciri saldırısı” olarak bilinen bu, son yıllarda oldukça yaygın bir siber suç vektörü haline geldi. Örneğin geçen yıl, sonatip (yeni sekmede açılır) 2019 ile 2022 arasında, yalnızca 2021’de 55.000 olmak üzere 95.000’den fazla yeni kötü amaçlı paket olduğunu bildirdi. Bu, söz konusu üç yılda depo saldırılarında %700’lük bir artış anlamına geliyordu.
“Neredeyse her modern işletme açık kaynağa güveniyor. Sonatype’ın kurucu ortağı ve CTO’su Brian Fox, açık kaynak havuzlarının kötü niyetli saldırılar için bir giriş noktası olarak kullanılmasının yavaşlama belirtisi göstermediği açık ve bu da hem bilinen hem de bilinmeyen güvenlik açıklarının erken tespitini her zamankinden daha önemli hale getiriyor” dedi. .
“Kötü amaçlı bileşenleri kapıdan içeri girmeden önce durdurmak, risk önlemenin temel bir unsurudur ve yazılım tedarik zincirlerini korumaya yönelik her konuşmanın bir parçası olmalıdır” diye ekledi.
Artık Google, kitaplıkları güncel tutacağını ve bilinen kusurlar için sürekli olarak taranacağını söylüyor. Ayrıca yeni güvenlik açıkları aramak için belirsiz testler yapacak ve düzeltmeler geliştirecektir.
Aracılığıyla: TechCrunch (yeni sekmede açılır)
