GitLab je nedavno pokrenuo novi open source alat za otkrivanje zlonamernog koda u softverskim komponentama.
Savremeni softver zavisi od desetina ili stotina paketa trećih strana, od kojih neki možda neće biti aktivno održavani ili nadgledani radi utvrđivanja ranjivosti. Package Hunter, koji se integriše direktno sa GitLab-ovom platformom za kontinuiranu integraciju (CI), pokreće zavisnosti projekta u okruženju za testiranje poznatom kao sandbox i koristi „dinamičku analizu ponašanja” da bi uočio zlonamerne pakete koji pokušavaju da izvuku osetljive podatke ili na drugi način pokrenu nenamerni kod.
Iako su dobrobiti softvera otvorenog koda dobro poznate, velika većina kodova sadrži bar jednu poznatu ranjivost otvorenog koda, prema nedavnom izveštaju Sinopsys-a. Drugi izveštaj je takođe zaključio da se programeri često ne trude da ažuriraju biblioteke trećih strana koje koriste u svom softveru, posebno imajući u vidu da gotovo polovina Python biblioteka u PyPI-ju ima bezbednosnih problema, o čemu je Startit Dnevnik pisao.
Ali sve veći broj hakerskih napada koji ciljaju logistiku preduzeća i ranjivosti u „pouzdanom” hardveru i softveru trećih strana, naizgled je ubrzala napore industrije da pojača odbranu od pretnji poput onih koje su se pojavile u hakerskom napadu na SolarWinds. Taj napad otvorio je pristup osetljivim podacima hiljadama organizacija, od Microsofta do vladinih agencija.
Google je nedavno predstavio novi end-to-end framework za „osiguranje integriteta softverskih artefakata u čitavom lancu snabdevanja softverom“, koji je u suštini nivo sertifikacije koji proverava koje bezbednosne procese ima određeni programski paket otvorenog koda. Tehnološki gigant je takođe lansirao Open Source Vulnerabilities bazu podataka koja pomaže programerima da smanje ranjivosti.
Softver otvorenog koda utiče na gotovo sve i svuda. Od malih startapa do velikih korporacija, kompanije se veoma često oslanjaju na open source komponente. Zato je u interesu svih da se obezbedi da se softver otvorenog koda pravilno održava i da nema ranjivosti, posebno imajući u vidu značajan porast broja sajber napada, koji ujedno postaju i sofisticiraniji, o čemu je Startit Dnevnik pisao. Upravo iz tog razloga, inicijative kao što su ova GitLab-ova i prethodna koju je pokrenuo Google, predstavalju ključan korak u rešavanju problema zlonamernog koda u softverskim komponentama.
GitLab je najavio Package Hunter još u decembru i od tada interno pokreće prototip. Ali od 23. jula kompanija ga je učinila dostupnim pod MIT licencom za svakoga da ga koristi.
