Açık Kaynak Güvenlik Vakfı (OpenSSF), popüler açık kaynak havuzlarına yüklenen tüm paketlerin dinamik analizini gerçekleştirebilen yeni bir aracın ilk prototip sürümünü duyurdu.
Aradı Paket Analizi proje, yazılım tedarik zincirinin güvenliğini güçlendirmek ve açık kaynaklı yazılıma olan güveni artırmak amacıyla kullanıcıları herhangi bir kötü niyetli davranışı tespit ederek ve uyararak açık kaynaklı paketlerin güvenliğini sağlamayı amaçlıyor.
“Paket Analizi projesi, açık kaynak depolarında bulunan paketlerin davranışlarını ve yeteneklerini anlamaya çalışır: hangi dosyalara erişirler, hangi adreslere bağlanırlar ve hangi komutları çalıştırırlar?”, OpenSSF dedim.
Vakıftan Caleb Brown ve David A. Wheeler, “Proje ayrıca, daha önce güvenli olan yazılımların ne zaman şüpheli davranmaya başladığını belirlemek için paketlerin zaman içinde nasıl davrandığına ilişkin değişiklikleri de takip ediyor,” diye ekledi.
Bir ay süren bir test çalışmasında araç, 200 kötü amaçlı paket PyPI ve NPM’ye yüklenir ve sahte kitaplıkların çoğu, bağımlılık karışıklığı ve yazım hatası saldırılarından yararlanır.
OpenSSF üyesi olan Google, ayrıca desteğini topladı Paket Analizi projesinin arkasında, “kullanıcıları güvende tutmak için paketlerin yayınlanmasının incelenmesi” gereğini vurguluyor.
Teknoloji devinin Açık Kaynak Güvenlik Ekibi, geçen yıl, yazılım paketlerinin bütünlüğünü sağlamak ve yetkisiz değişiklikleri önlemek için Yazılım Eserleri için Tedarik Zinciri Düzeyleri (SLSA) adlı yeni bir çerçeve ortaya koydu.
Gelişme, açık kaynak ekosisteminin, kripto para madencileri ve bilgi hırsızları da dahil olmak üzere çeşitli kötü amaçlı yazılımlarla geliştiricileri hedeflemek için giderek daha fazla silahlanmasıyla ortaya çıkıyor.
