Development

Security
weerwolf

Package Hunter speurt naar kwaadaardige code in opensource-project

Controle op aanwezigheid malafide code steeds makkelijker.

© Shutterstock DanieleGay
2 augustus 2021

Controle op aanwezigheid malafide code steeds makkelijker.

GitLab heeft een nieuw opensourcegereedschap geïntroduceerd dat ontwikkelaars helpt bij het opsporen van pakketten die ongewenste code tot expressie brengen bijvoorbeeld om gevoelige data los te weken.

Het nieuwe gereedschap genaamd Package Hunter is onderdeel van het continuousintegrationplatform (CI) van GitLab. De hulpsoftware creëert een sandboxomgeving waarin de afhankelijkheden van verschillende opensourcepakketten worden geanalyseerd, meldt Venturebeat.

Het gereedschap is bedoeld om het voor ontwikkelaars makkelijker te maken code die ze van derden gebruiken in hun eigen projecten, te testen op kwaadaardige bedoelingen. Het is bekend uit ander onderzoek dat ontwikkelaars zich vaak niet de moeite getroosten om software, gemaakt door anderen, grondig tegen het licht te houden. Het gevolg is dat 84% van alle opensourcesoftware minimaal één kwetsbaarheid bevat, volgens onderzoek van Synopsys.

Het zijn deze kwetsbaarheden in software van bedrijven in de toeleveringsketen die in toenemende mate misbruikt worden door criminelen om bij hun doelwit binnen te komen. Hun slachtoffers gaan ervan uit dat de software van betrouwbare partners geen kwaadaardige code bevat en zo kunnen ze relatief gemakkelijk de beveiliging van deze organisaties omzeilen.

GitLab is niet de enige organisatie die hulpmiddelen ontwikkelt om deze route te blokkeren. Zo introduceerde Google onlangs de Open Source Vulnerabilities Database en SLSA (spreek uit salsa), een framework om de integriteit van openscourcesoftwarecomponenten te kunnen garanderen.

 

Lees meer over
Lees meer over Development OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.