GitLab lanceert tool voor vinden van kwaadaardige code in dependencies
Het populaire DevOps-platform GitLab heeft een opensourcetool gelanceerd waarmee ontwikkelaars kwaadaardige code in hun dependencies kunnen vinden. Het gaat dan om de externe library's en packages die ontwikkelaars gebruiken om functionaliteit aan hun eigen software toe te voegen.
Er zijn tal van packages en library's te vinden die een bepaalde functionaliteit bieden, zodat een ontwikkelaar die niet zelf hoeft te ontwikkelen. "Hoewel het hergebruik van publiek beschikbare packages de tijd om een app te ontwikkelen verkort, brengt het ook allerlei uitdagingen met zich mee. Apps zijn al snel van honderden packages afhankelijk, en ontwikkelaars gaan er vaak gewoon vanuit dat deze packages geen kwaadaardige code bevatten", zegt Dennis Appelt van GitLab.
Om kwaadaardige code in dergelijke gebruikte packages en libraries te vinden ontwikkelde GitLab Package Hunter. Deze tool kijkt of de dependencies van een programma kwaadaardige code bevatten of ander onverwacht gedrag vertonen. Hiervoor installeert Package Hunter de betreffende dependencies in een sandbox-omgeving en monitort system calls die tijdens de installatie worden uitgevoerd. Verdachte system calls worden vervolgens aan de gebruiker gerapporteerd.
Op dit moment ondersteunt Package Hunter het testen van de dependencies van NodeJS-modules en Ruby Gems. Zelf maakt GitLab sinds november 2020 gebruik van de tool. Door die publiek te maken hoopt het platform dat andere softwareprojecten kwaadaardige code in hun dependencies kunnen vinden voordat die schade aanrichten en het vertrouwen in open source supply chains te vergroten.
Ik verbaas me altijd enorm over de gemakzucht waarmee programmeurs ongezien allerlei dependencies installeren. Op zijn minst zou de code handmatig doorlopen moeten worden en aan version pinning moeten doen. Kost tijd en dus geld, maar is ontzettend nodig!
Zie ook de recente voorbeelden waarbij kwaadaardige code de standaard package registries PyPi en NPM zijn ingefietst door onderzoekers (en als onderzoekers het doen, doen de echte boeven het ook).
Ik verbaas me altijd enorm over de gemakzucht waarmee programmeurs ongezien allerlei dependencies installeren. Op zijn minst zou de code handmatig doorlopen moeten worden en aan version pinning moeten doen. Kost tijd en dus geld, maar is ontzettend nodig!
Zie ook de recente voorbeelden waarbij kwaadaardige code de standaard package registries PyPi en NPM zijn ingefietst door onderzoekers (en als onderzoekers het doen, doen de echte boeven het ook).
Ipv version pinned ben ik voor hash pinnen
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.