Augant programinės įrangos projektams, kūrėjai linkę naudoti vis daugiau trečiųjų šalių bibliotekų. Tai leidžia pristatyti naujas funkcijas greičiau ir efektyviau. Tačiau kai jūsų programa priklauso nuo kažkieno sukurtų bibliotekų, yra didelė tikimybė, kad gali nutikti kažkas netikėto.

Vis daugėja programinės įrangos tiekimo grandinės atakų, panaudojant modulius, kuriuose yra kenkėjiško kodo. „GitLab“ sugalvojo naują įrankį, vadinamą „Package Hunter“, kad užkirstų kelią šioms atakoms.

Kaip veikia paketų medžiotojas?

„Package Hunter“ yra patikimas įrankis, leidžiantis stebėti priklausomybę nuo programinės įrangos modulių ir įspėti programuotojus apie nepageidaujamą elgesį. Tai atvirojo kodo projektas, kurį sukūrė „GitLab“ saugos komanda. Rašymo metu „Package Hunter“ dirba su „NodeJS“ moduliai ir „Ruby Gems“.

Ji analizuoja jūsų programos priklausomybes ieškant kenkėjiško kodo. Norėdami tai padaryti, „Package Hunter“ įdiegs reikiamus modulius smėlio dėžės aplinkoje ir stebėti sistemos skambučius

instagram viewer
. Jei kuris nors iš šių sistemos skambučių atrodo įtartinas arba neįprastas, „Package Hunter“ nedelsdamas įspės kūrėją.

Po gaubtu naudojasi „Package Hunter“ Falco, debesyje sukurtas saugos projektas, galintis aptikti grėsmes vykdymo metu. Tai sumažina laiką, kurį programuotojai turi peržiūrėti rankiniu būdu.

Kaip naudoti paketų medžiotoją savo projektuose

„Package Hunter“ lengvai integruojamas su esamais „GitLab“ įrankiais. Norėdami ją naudoti savo projekte, pirmiausia įdiekite programinę įrangą savo vietiniame kompiuteryje. Sekite šiuos instrukcijas, kaip įdiegti „Package Hunter“.

Atminkite, kad šiam paketui reikia „Falco 0.23.0“, „Docker 20.10“ (arba naujesnės versijos) ir „Node 12.21“ (arba naujesnės versijos). Galite pradėti naudoti „Package Hunter“ CI vamzdynuose, kai tik diegimas bus baigtas. Sekite šiuos instrukcijas, kaip naudoti „Package Hunter“ CI vamzdynuose.

Apsaugokite savo programinę įrangą naudodami „Package Hunter“

„GitLab“ paketų medžiotojas yra veiksminga priemonė kūrėjams, kurie nuolat ieško kenksmingo kodo savo projektuose. Kadangi tiekimo grandinės atakos tampa vis dažnesnės, turime greitai prisitaikyti, kad apsaugotume savo programinę įrangą. Aiškiai suprasti šias atakas yra labai svarbu, kad apsaugotumėte kitą didelį projektą.

Dalintis„Tweet“Paštu
Kas yra įsilaužimas į tiekimo grandinę ir kaip galite būti saugus?

Negali prasibrauti pro priekines duris? Vietoj to atakuokite tiekimo grandinės tinklą. Štai kaip veikia šie įsilaužimai.

Skaityti toliau

Susijusios temos
  • Saugumas
  • Atviro kodo
  • Sauga internete
  • Galinės durys
Apie autorių
Rubaiat Hossain (Paskelbti 39 straipsniai)

„Rubaiat“ yra CS laipsnis, turintis didelę aistrą atvirojo kodo. Be to, kad yra „Unix“ veteranas, jis taip pat užsiima tinklo saugumu, kriptografija ir funkciniu programavimu. Jis yra aistringas naudotų knygų kolekcionierius ir nesibaigiantis žavėjimasis klasikiniu roku.

Daugiau iš Rubaiat Hossain

Prenumeruokite mūsų naujienlaiškį

Prisijunkite prie mūsų naujienlaiškio, kad gautumėte techninių patarimų, apžvalgų, nemokamų el. Knygų ir išskirtinių pasiūlymų!

Norėdami užsiprenumeruoti, spustelėkite čia