A nyílt forráskódú programkönyvtárak rosszindulatú használata komoly biztonsági kitettséget jelent, és az elmúlt időszakban nem is egy olyan esetre derült fény, amikor fejlesztőket káros kódot tartalmazó csomagokkal támadtak. Az Open Source Security Foundation (OpenSSF) nemrég bejelentett új eszköze erre a problémára szeretne megoldást nyújtani, a Package Analysis ugyanis képes dinamikus elemzést végezni – a szoftverek nyílt forráskódját tároló – népszerű repository-kba feltöltött szoftvercsomagokon.
A kezdeményezés célja, hogy növelje a szoftverellátási lánc biztonságát, valamint a felhasználók nyílt forráskódú szoftverekbe vetett bizalmát azáltal, hogy az eszköz észleli és figyelmezteti őket a szoftverek rosszindulatú viselkedésére. Az OpenSSF elmondása szerint a Package Analysis igyekszik megérteni a repository-ba feltöltött szoftverek viselkedését, beleértve hogy azok milyen fájlokhoz férnek hozzá, milyen címekhez csatlakoznak, és milyen parancsokat futtatnak. Mindemellett a szoftver képes követni a csomagok viselkedéseinek változását is, így meg tudja állapítani azt is, hogy mikor kezdenek gyanús viselkedésbe a megbízható szoftverek. A tesztüzem során az eszköz több mint 200 – a PyPI-re és NPM-re feltöltött – rosszindulatú csomagot azonosított.
A Google – aki szintén tagja az OpenSSF-nek és a Package Analysis projektnek – tavaly új keretrendszert hozott létre Supply chain Levels for Software Artifacts (SLSA) néven, amellyel igyekszik biztosítani a szoftvercsomagok integritását, és megakadályozni, hogy jogosulatlanul hajtsanak végre módosításokat a szoftverekben.
Mindezen fejlesztésekre főként azért van szükség, mert a rosszindulatú szereplők célkeresztjében egyre gyakrabban állnak azon fejlesztők, akik szoftvereit különböző rosszindulatú programokkal, például kriptovalutabányász, vagy információlopó képességekkel ruházhatják fel.
