Scan op veiligheid open source is dweilen met kraan open
Beveiligingsexperts van Google luiden de alarmklok over het gemak waarmee kwaadwillenden code kunnen binnensmokkelen in populaire opensourcepakketten. Het Package Analysis Project van de Open Source Security Foundation vond in een maand tijd al 200 gemanipuleerde package respositories. Het is volgens het Open Source Security-team van Google tijd voor veel meer investeringen in het doorlichten van pakketten voor zij gepubliceerd worden.
© Pixabay
Pixabay
De beheerders van open source package repositories hebben veel te weinig middelen tot hun beschikking om de duizenden dagelijkse updates te scannen op bijdragen met een kwaadaardige bijbedoeling. De open source principes vereisen bovendien dat het een open model blijft waar iedereen vrijelijk aan kan bijdragen. De beheerders hebben het daardoor in de praktijk veel moeilijker om de veiligheid van software te bewaken dan bijvoorbeeld de beheerders van stores voor mobiele apps.
Het gaat dan ook behoorlijk vaak mis, blijkt uit onderzoek van het Package Analysis Project van de Open Source Security Foundation (Open SSF), een initiatief van de Linux Foundation om de problematiek van aanvallen via de toeleveringsketen aan te pakken. Onder de 200 gecompromitteerde softwarepaketten die in maart werden gevonden, blijken verschillende backdoors voor te komen bedoeld om gegevens te stelen. Maar er zitten ook pogingen bij van veiligheidsonderzoekers die via deze route proberen bug bounties op te strijken.
De scantool die het Package Analysis Project gebruikte, toont aan dat het veel te gemakkelijk is om kwaadaardige code te injecteren in opensourceprojecten. Volgens Google - deelnemer in het Package Analysis Project - is het daarom de hoogste tijd daar wat aan te doen door meer te investeren in de scanactiviteiten voordat pakketten worden gepubliceerd. De onderzoekers pleiten tevens voor de ontwikkeling van een open rapportagestandaard waardoor resultaten van scans makkelijker centraal beschikbaar kunnen worden gesteld. Dat vergroot het vertrouwen van de gebruikers van pakketten in de veiligheid van de software. Geïnteresseerden worden opgeroepen het betreffende GitHub-project te raadplegen voor mogelijkheden om bij te dragen aan deze ontwikkeling.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee