Jak softwarové projekty stále rostou, vývojáři mají tendenci používat stále více knihoven třetích stran. Díky tomu je odesílání nových funkcí rychlejší a efektivnější. Když však váš program závisí na knihovnách vytvořených někým jiným, je velká šance, že se stane něco neočekávaného.

Roste počet útoků na dodavatelský řetězec softwaru využívající moduly obsahující škodlivý kód. GitLab přišel s novým nástrojem s názvem Package Hunter, který těmto útokům předchází.

Jak funguje Package Hunter?

Package Hunter je robustní nástroj pro sledování závislostí v softwarových modulech a upozorňuje programátory na nežádoucí chování. Je to open-source projekt vyvinutý bezpečnostním týmem GitLab. V době psaní článku pracuje Package Hunter s Moduly NodeJS a Ruby Gems.

Analyzuje závislosti vašeho programu a hledá škodlivý kód. Za tímto účelem Package Hunter nainstaluje požadované moduly do prostředí sandbox a sledovat systémová volání. Pokud některé z těchto systémových volání vypadá podezřele nebo neobvykle, Package Hunter okamžitě upozorní vývojáře.

Pod kapotou využívá Package Hunter Falco, cloudový nativní bezpečnostní projekt, který dokáže detekovat hrozby za běhu. Snižuje čas, který programátoři potřebují na ruční kontrolu kódu.

Jak používat Package Hunter ve svých projektech

Package Hunter se snadno integruje se stávajícími nástroji GitLab. Chcete -li jej použít pro svůj projekt, nejprve nainstalujte software na místní počítač. Postupujte podle těchto pokyny k instalaci Package Hunter.

Tento balíček vyžaduje Falco 0.23.0, Docker 20.10 (nebo novější) a Node 12.21 (nebo novější). Po dokončení instalace můžete začít používat Package Hunter v CI potrubí. Postupujte podle těchto pokyny k použití Package Hunter v potrubích CI.

Chraňte svůj software pomocí Package Hunter

GitLab's Package Hunter je účinný nástroj pro vývojáře, kteří ve svých projektech neustále hledají škodlivý kód. Jak jsou útoky na dodavatelské řetězce stále běžnější, musíme se rychle chránit, abychom chránili náš software. Mít jasnou představu o těchto útocích je zásadní pro zabezpečení vašeho dalšího velkého projektu.

PodíltweetE-mailem
Co je to hackování dodavatelského řetězce a jak můžete zůstat v bezpečí?

Nemůžete prorazit přední dveře? Místo toho zaútočte na síť dodavatelského řetězce. Zde je návod, jak tyto hacky fungují.

Číst dále

Související témata
  • Bezpečnostní
  • Otevřený zdroj
  • Zabezpečení online
  • Zadní dveře
O autorovi
Rubaiat Hossain (39 článků zveřejněno)

Rubaiat je absolventem CS se silnou vášní pro open-source. Kromě toho, že je veteránem Unixu, věnuje se také zabezpečení sítě, kryptografii a funkčnímu programování. Je vášnivým sběratelem knih z druhé ruky a má nekonečný obdiv ke klasickému rocku.

Více od Rubaiat Hossain

Přihlaste se k odběru našeho zpravodaje

Připojte se k našemu zpravodaji a získejte technické tipy, recenze, bezplatné elektronické knihy a exkluzivní nabídky!

Kliknutím sem se přihlásíte k odběru