Google предлагает бесплатную защиту от вредоносных пакетов
вычисления techradar.com Новости

Google предлагает бесплатную защиту от вредоносных пакетов

13 апреля 2023 г.

Google Assured ПО с открытым исходным кодом (Assured OSS), новая услуга, защищающая репозиторий исходных кодов от атак на цепочку поставок, теперь доступен для всех.

Спустя год после первоначального объявления об услуге Google запустил ее в общедоступный доступ в начале этой недели, и на фоне спекуляций о ее цене принял неожиданное решение. предложить это бесплатно. Тем, кто хочет попробовать Assured OSS, нужно всего лишь зарегистрировать новую учетную запись.

Сегодня разработка программного обеспечения в значительной степени зависит от открытого исходного кода. Разработчики со всего мира создают фрагменты кода, которые затем передаются более широкому сообществу разработчиков через репозитории, такие как GitHub, PyPI и другие. Это позволяет другим разработчикам брать этот код и внедрять его в свои решения, не тратя лишние часы на создание элементов с нуля.

Злоупотребление добрыми намерениями

Однако это также предоставляет уникальную возможность злоумышленникам. Если они взломают учетные записи разработчиков, они могут изменить существующие пакеты с помощью вредоносного кода. Если этот вредоносный код в конечном итоге будет интегрирован в несколько решений, он откроет множество возможностей для кражи конфиденциальных данных, развертывания второго этапа вредоносное ПО и многое другое.

Даже если они не взламывают учетные записи, хакеры часто прибегают к опечаткам, создавая пакеты, которые выглядят почти идентичными легитимным. Таким образом, перегруженные работой разработчики или те, кому не хватает времени, могут по ошибке загрузить неправильный пакет и, таким образом, поставить под угрозу свои продукты.

Известная как «атака на цепочку поставок», в последние годы она стала довольно распространенным вектором киберпреступности. В прошлом году, например, Sonatype сообщает, что в период с 2019 по 2022 год было создано более 95 000 новых вредоносных пакетов, из них 55 000 только в 2021 году. Это на 700 % больше атак на репозиторий за эти три года.

Подробнее

> Разработчики Microsoft Azure пострадали от потока вредоносных программ npm пакеты

> GitHub лучше отслеживает ваш опасный код

> Это лучшие IDE для Python

«Почти каждый современный бизнес опирается на открытый исходный код. Очевидно, что использование репозиториев с открытым исходным кодом в качестве точки входа для вредоносных атак не показывает никаких признаков замедления, что делает раннее обнаружение как известных, так и неизвестных уязвимостей безопасности более важным, чем когда-либо», — сказал Брайан Фокс, соучредитель и технический директор Sonatype. .

Он добавил, что «остановка вредоносных компонентов до того, как они проникнут в дверь, является фундаментальным элементом предотвращения рисков и должна быть частью каждого разговора о защите цепочек поставок программного обеспечения».

Теперь , Google заявляет, что будет обновлять библиотеки и постоянно сканировать их на наличие известных недостатков. Он также проведет нечеткие тесты для поиска новых уязвимостей и разработки исправлений.

Recent Post

Categories

PREVIOUS ARTICLE
NEXT ARTICLE