Beheer

Software-ontwikkeling
vergrootglas

Scan op veiligheid open source is dweilen met kraan open

Injecteren van kwaadaardige code gaat veel te makkelijk.

© Pixabay
4 mei 2022

Injecteren van kwaadaardige code gaat veel te makkelijk.

Beveiligingsexperts van Google luiden de alarmklok over het gemak waarmee kwaadwillenden code kunnen binnensmokkelen in populaire opensourcepakketten. Het Package Analysis Project van de Open Source Security Foundation vond in een maand tijd al 200 gemanipuleerde package respositories. Het is volgens het Open Source Security-team van Google tijd voor veel meer investeringen in het doorlichten van pakketten voor zij gepubliceerd worden.

De beheerders van open source package repositories hebben veel te weinig middelen tot hun beschikking om de duizenden dagelijkse updates te scannen op bijdragen met een kwaadaardige bijbedoeling. De open source principes vereisen bovendien dat het een open model blijft waar iedereen vrijelijk aan kan bijdragen. De beheerders hebben het daardoor in de praktijk veel moeilijker om de veiligheid van software te bewaken dan bijvoorbeeld de beheerders van stores voor mobiele apps.

Het gaat dan ook behoorlijk vaak mis, blijkt uit onderzoek van het Package Analysis Project van de Open Source Security Foundation (Open SSF), een initiatief van de Linux Foundation om de problematiek van aanvallen via de toeleveringsketen aan te pakken. Onder de 200 gecompromitteerde softwarepaketten die in maart werden gevonden, blijken verschillende backdoors voor te komen bedoeld om gegevens te stelen. Maar er zitten ook pogingen bij van veiligheidsonderzoekers die via deze route proberen bug bounties op te strijken.

De scantool die het Package Analysis Project gebruikte, toont aan dat het veel te gemakkelijk is om kwaadaardige code te injecteren in opensourceprojecten. Volgens Google - deelnemer in het Package Analysis Project - is het daarom de hoogste tijd daar wat aan te doen door meer te investeren in de scanactiviteiten voordat pakketten worden gepubliceerd. De onderzoekers pleiten tevens voor de ontwikkeling van een open rapportagestandaard waardoor resultaten van scans makkelijker centraal beschikbaar kunnen worden gesteld. Dat vergroot het vertrouwen van de gebruikers van pakketten in de veiligheid van de software. Geïnteresseerden worden opgeroepen het betreffende GitHub-project te raadplegen voor mogelijkheden om bij te dragen aan deze ontwikkeling.

1
Reacties
RBx 05 mei 2022 00:39

Ik heb mijzelf meerdere malen behoorlijk onpopulair gemaakt door nadelen van opensource software / frameworks op te nemen. Er is echt helemaal niemand die dit wilt horen vooral bij de Rijksoverheid niet alles moet opensource (op veel plekken alleen python en andere zoals .net Core wordt dan niet als opensource beschouwd) alles moet met frameworks het simpel maar efficient en veilig houden is absoluut uit den boze.

Sinds de golf afgestudeerden van 2008+ is het dweilen met de kraan open nu hebben deze mensen 14 jaar ervaring en zijn gewoon overal tegen wat buiten hun ervaring valt (wat meestal alles is behalve Python en Python frameworks) ook talen zoals C en C++ wordt op neergekeken en mensen uitleggen dat talen zoals Python geen machine code produceren maar C gebruiken of C++ via libraries om instructies aan een processor te geven dan wordt er naar je gekeken alsof zij water zijn branden en vind iedereen dat je niet spoort en een slechte programmeur bent en wordt je uit teams geknikkerd.

Vooral IT-ers met een WO achtergrond zijn vaak 0% vatbaar voor argumenten met bewijs waar zij het niet mee eens zijn zonder tegenbewijs te geven, het antwoord op alle vragen is open source en Python. Waar ik dit handig vind om specifieke problemen mee te voorkomen zie ik alle vooruitgang die wij sinds 2001 hebben gemaakt teniet gedaan worden en dezelfde problemen op duiken die wij in de jaren 90 tig hadden.

Men kijkt naar een project en niemand is echt geintresseerd in onderhoud na het project. Het is gewoon een feit dat je constant je software moet updaten en daarmee ook alle frameworks die daar aan hangen een framework kan tijdens het project wel gescanned zijn maar als je een framework update (vooral die die externe resources gebruiken) kun je zo een malware versie update binnen halen maar echt bijna niemand wilt het horen!

Een goed framework versneld het software ontwikkel proces maar in de jaren 90 tig kozen wij er ook vaak voor om geen frameworks en componenten te gebruiken om de software beheersbaar, efficient en veilig te houden. Open source en frameworks zijn een afweging maar tegenwoordig is dit gewoon een vereiste het is ook niet zo gek dat er vaak systemen onderuit gaan of gehacked worden het is echt dweilen met de kraan open maar naast het technische aspect wordt dit ook veroorzaakt door de manier van werken die vaak niet van toepassing is voor het type project dat men doet. Ik als generalist heb dit de afgelopen 27 meegemaakt en vandaag de dag merk ik ook dat mensen vooral willen werken met specialisten, vooral als ze 100% hetzelfde zijn als de rest en vooral overal ja op zeggen want daar kom je tegenwoordig het verst mee, iedereen vind je an aardig en een fijne collega en op basis van expertise iets afraden met valide argumenten wordt als negatief en oncollegiaal beschouwd!

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.