GitLab lanceert tool voor vinden van kwaadaardige code in dependencies
Het populaire DevOps-platform GitLab heeft een opensourcetool gelanceerd waarmee ontwikkelaars kwaadaardige code in hun dependencies kunnen vinden. Het gaat dan om de externe library's en packages die ontwikkelaars gebruiken om functionaliteit aan hun eigen software toe te voegen.
Er zijn tal van packages en library's te vinden die een bepaalde functionaliteit bieden, zodat een ontwikkelaar die niet zelf hoeft te ontwikkelen. "Hoewel het hergebruik van publiek beschikbare packages de tijd om een app te ontwikkelen verkort, brengt het ook allerlei uitdagingen met zich mee. Apps zijn al snel van honderden packages afhankelijk, en ontwikkelaars gaan er vaak gewoon vanuit dat deze packages geen kwaadaardige code bevatten", zegt Dennis Appelt van GitLab.
Om kwaadaardige code in dergelijke gebruikte packages en libraries te vinden ontwikkelde GitLab Package Hunter. Deze tool kijkt of de dependencies van een programma kwaadaardige code bevatten of ander onverwacht gedrag vertonen. Hiervoor installeert Package Hunter de betreffende dependencies in een sandbox-omgeving en monitort system calls die tijdens de installatie worden uitgevoerd. Verdachte system calls worden vervolgens aan de gebruiker gerapporteerd.
Op dit moment ondersteunt Package Hunter het testen van de dependencies van NodeJS-modules en Ruby Gems. Zelf maakt GitLab sinds november 2020 gebruik van de tool. Door die publiek te maken hoopt het platform dat andere softwareprojecten kwaadaardige code in hun dependencies kunnen vinden voordat die schade aanrichten en het vertrouwen in open source supply chains te vergroten.
Ik verbaas me altijd enorm over de gemakzucht waarmee programmeurs ongezien allerlei dependencies installeren. Op zijn minst zou de code handmatig doorlopen moeten worden en aan version pinning moeten doen. Kost tijd en dus geld, maar is ontzettend nodig!
Zie ook de recente voorbeelden waarbij kwaadaardige code de standaard package registries PyPi en NPM zijn ingefietst door onderzoekers (en als onderzoekers het doen, doen de echte boeven het ook).
Ik verbaas me altijd enorm over de gemakzucht waarmee programmeurs ongezien allerlei dependencies installeren. Op zijn minst zou de code handmatig doorlopen moeten worden en aan version pinning moeten doen. Kost tijd en dus geld, maar is ontzettend nodig!
Zie ook de recente voorbeelden waarbij kwaadaardige code de standaard package registries PyPi en NPM zijn ingefietst door onderzoekers (en als onderzoekers het doen, doen de echte boeven het ook).
Ipv version pinned ben ik voor hash pinnen
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (Operationele Techniek)
bij HHNK
Heb jij een passie voor informatiebeveiliging en wil je jouw expertise inzetten in een organisatie met impact? Solliciteer nu! Bij HHNK hechten we veel waarde aan de veiligheid van onze informatie en systemen. Met een breed scala aan operationele techniek (OT) voor onze taken, is het essentieel om deze veilig te houden.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.