Uma nova ferramenta de código aberto do GitLab detectará código malicioso

Para ajudar a evitar ataques da cadeia de suprimentos, a nova ferramenta de código aberto do GitLab visa detectar código malicioso em dependências.

Última atualização em 27 de july de 2021

Uma nova ferramenta de código aberto do GitLab detectará código malicioso

Existem várias ferramentas de código aberto disponíveis para pesquisadores de segurança. Agora, o GitLab introduziu um novo para o arsenal que permite detectar o código malicioso nas dependências.

A ferramenta também é conhecida como "Package Hunter" e é uma adição importante que poderia ajudar a garantir segurança em todos os tipos de software.

O que é o Package Hunter?

Cada software inclui alguma forma de dependência, o que torna possível que um desenvolvedor crie rapidamente um aplicativo.

Embora isso facilite a reutilização do código para alcançar uma tarefa, elas geralmente "confiam" as dependências usadas sem uma revisão separada.

Package Hunter vem para nos salvar aqui e permite que você detecte facilmente o código malicioso em um pacote de dependência.

Melhorando a segurança da cadeia de suprimentos de software

Muitos ataques da cadeia de suprimentos envolvem um pacote de dependência comprometido.

Normalmente, o atacante injeta código malicioso no código de dependência disponível para o público ou cria um repositório privado separado para distribuir a dependência mal-intencionada que parece segura.

Mesmo se você estiver usando um gerenciador de pacotes para obter pacotes confiáveis, ele pode ser enganado para baixar pacotes de um repositório privado. E você não terá ideia disso.

Assim, com uma verificação adicional à cadeia de suprimentos que é tão conveniente quanto o Package Hunter, a segurança da cadeia de suprimentos de software deve melhorar.

E, especialmente, se a segurança da cadeia de suprimentos de origem aberta melhorar, a segurança do software de código aberto irá gradualmente obter um impulso também.

Como funciona? Como você pode obtê-lo?

Package Hunter pesquisa por código malicioso e mantém um olho no comportamento inesperado das dependências.

Ele instala as dependências em um ambiente de caixa de areia para monitorar e detectar qualquer anomalia.

A partir de agora, ele suporta testes de módulos NodeJS e Gems Ruby.

O GitLab tem usado a ferramenta internamente por um tempo. E agora, integra-se perfeitamente com o GitLab.

Você pode aprender mais sobre como configurá-lo referindo-se à documentação oficial e as instruções do Package Hunter CLI.

Está disponível como um projeto livre e de código aberto no GitLab.

O que você acha da ferramenta de código aberto do GitLab para ajudar a detectar código malicioso? Sinta-se à vontade para compartilhar seus pensamentos nos comentários abaixo.

Via itsfoss.com. Você pode conferir o post original em inglês:

GitLab’s New Open Source Tool Will Detect Malicious Code

Última atualização deste artigo: 27 de july de 2021

Artigos populares
 Se você está preso ao terminal no Linux, digamos em um servidor, como você baixa um arquivo? Aqui estão alguns comandos para baixar arquivos e até páginas da web. Você quer ser altamente produtivo? Fique familiarizado e memorize esses atalhos de teclado do Visual Studio Code para Linux, Windows e macOS. Quer remover o Google Chrome do seu Ubuntu Linux? Veja como remover completamente o Google Chrome e seus arquivos de configurações do Ubuntu. O que você está ansioso para 2023? Experimente estas distribuições! Aqui estão 6 maneiras de reiniciar a rede no Ubuntu. Tudo é possível no mundo Linux, incluindo distribuições que se parecem com MacOS. Gerenciar partições é uma tarefa arriscada. Aprenda a excluir partições no Linux com segurança usando as ferramentas do terminal e da GUI. Quer saber quanto espaço livre você tem? Aqui estão os métodos de terminal e GUI para verificar o espaço livre em disco e o uso de disco no Linux. Um tutorial para iniciante com passo a passo explicando como dar acesso de sudo a um usuário normal. Você verá métodos para o Ubuntu Desktop e o servidor. Os desenvolvedores do Ubuntu finalmente estão indo para algo sobre os recursos de mosaico de janela no desktop Ubuntu?
Artigos recentes
 Esta é a quarta atualização de manutenção para a mais recente e melhor série de pacotes de escritório LibreOffice 7.5. O Projeto KDE lançou o KDE Gear 23.04.2, uma atualização de manutenção para o ambiente de desktop KDE Plasma e outros projetos de código aberto, trazendo melhorias e correções de bugs em diversos aplicativos. Aqui estão algumas dicas sobre como comentar várias linhas de código no VS Code. Esta versão também inclui as interfaces gráficas Phosh 0.27, KDE Plasma Mobile 5.27.5 e Sxmo 1.14.0. Esta versão também fornece suporte imediato para inicialização a partir do NVM Express over Fabrics (NVMe-oF) sobre TCP.
Atom 1.0 RSS