信号探测器旨在帮助开发人员保持威胁
一组软件包维护者创建了一个工具,用于捍卫依赖开源JavaScript库的应用程序。
该工具称为插座,使用了一种新的主动防御开源软件OSS供应链攻击。
供应链攻击当不法行为妥协并使用它将恶意代码分发给依赖于该的应用程序时,就会发生。该策略已成为日益增长的威胁,尤其是随着越来越多的应用程序越来越依赖开源软件组件。
传统方法不足
“插座团队中的每个人都是开源维护者。同时我们每月下载超过10亿美元,” Socket的创始人兼首席执行官Feross Aboukhadijeh告诉每日swbeplay2018官网ig。“我们亲眼目睹了供应链攻击如何扫除开源社区并损害了开源的信任。”
保持开源软件的安全性变得越来越具有挑战性,尤其是因为每个依赖性都会导致数十个或数百个及时依赖性。
安全行业主要集中在已经发现的漏洞上。有许多CVE扫描仪可以监视已知漏洞的应用程序。
但是,漏洞可能需要数周或数月才能发现,并且它们的出现不会阻止供应链攻击,Aboukhadijeh警告说。
一学习从2020年开始,平均而言,在公开报告之前,可以使用209天的恶意包裹。另一个国家这20%的恶意软件“在包装管理人员中持续400天以上,并且下载超过1k。”
“在当今快速发展的文化中,可以在几天甚至数小时内更新,合并和生产中的恶意依赖,” Aboukhadijeh说。“这还不足以创建CVE并进入团队使用的VULN扫描工具。”
一种主动的方法
插座设计的假设是所有开源包都可能是恶意的。它没有搜索已知漏洞,而是试图检测受感染的软件包的迹象。
根据Aboukhadijeh的说法,插座使用“深包检查”来表征开源软件包的行为。它分析了软件包代码和维护者行为,以检测供应链攻击的讲述标志。
插座在A上进行静态分析JavaScript软件包及其所有依赖项都需要寻找风险标记,例如安装脚本,混淆代码,高熵字符串或特权API的使用,例如Shell,网络,文件系统,eval()和环境变量。
“例如,如果包装的新补丁或次要版本添加了一个安装脚本和新代码以与网络通信,则是一个巨大的危险信号,每个团队都应该在更新新版本之前想知道一些信息,” Aboukhadijeh说。“寻找这两个信号将阻止最近NPM供应链攻击的很大一部分。”
插座在五个不同的类别中共有70个检测标记:供应链风险,质量,维护,已知漏洞和许可证。
Aboukhadijeh解释说:“我们将这些问题中的每一个都用作供应链风险公式的信号,该公式决定我们是否会提高警报。”
对我的插座
该工具可作为付费应用程序提供github并具有有限功能的免费版本。Aboukhadijeh说,自推出以来的两个月内,它已经保护了数百个组织和数万个存储库。
将来,团队将添加更多的风险检测技术以及高级报告功能。他们还将增加对更多语言的支持(爪哇,GO,Python)以及与其他平台(Gitlab,Bitbucket)的集成。
你也可能喜欢elog4shell漏洞的热点AWS允许完整的主机接管
