Package Hunter speurt naar kwaadaardige code in opensource-project

Het nieuwe gereedschap genaamd Package Hunter is onderdeel van het continuousintegrationplatform (CI) van GitLab. De hulpsoftware creëert een sandboxomgeving waarin de afhankelijkheden van verschillende opensourcepakketten worden geanalyseerd, meldt Venturebeat.

Het gereedschap is bedoeld om het voor ontwikkelaars makkelijker te maken code die ze van derden gebruiken in hun eigen projecten, te testen op kwaadaardige bedoelingen. Het is bekend uit ander onderzoek dat ontwikkelaars zich vaak niet de moeite getroosten om software, gemaakt door anderen, grondig tegen het licht te houden. Het gevolg is dat 84% van alle opensourcesoftware minimaal één kwetsbaarheid bevat, volgens onderzoek van Synopsys.

Het zijn deze kwetsbaarheden in software van bedrijven in de toeleveringsketen die in toenemende mate misbruikt worden door criminelen om bij hun doelwit binnen te komen. Hun slachtoffers gaan ervan uit dat de software van betrouwbare partners geen kwaadaardige code bevat en zo kunnen ze relatief gemakkelijk de beveiliging van deze organisaties omzeilen.

GitLab is niet de enige organisatie die hulpmiddelen ontwikkelt om deze route te blokkeren. Zo introduceerde Google onlangs de Open Source Vulnerabilities Database en SLSA (spreek uit salsa), een framework om de integriteit van openscourcesoftwarecomponenten te kunnen garanderen.