Uma nova ferramenta de código aberto do GitLab detectará código malicioso

Para ajudar a evitar ataques da cadeia de suprimentos, a nova ferramenta de código aberto do GitLab visa detectar código malicioso em dependências.

Uma nova ferramenta de código aberto do GitLab detectará código malicioso

Existem várias ferramentas de código aberto disponíveis para pesquisadores de segurança. Agora, o GitLab introduziu um novo para o arsenal que permite detectar o código malicioso nas dependências.

A ferramenta também é conhecida como "Package Hunter" e é uma adição importante que poderia ajudar a garantir segurança em todos os tipos de software.

O que é o Package Hunter?

Cada software inclui alguma forma de dependência, o que torna possível que um desenvolvedor crie rapidamente um aplicativo.

Embora isso facilite a reutilização do código para alcançar uma tarefa, elas geralmente "confiam" as dependências usadas sem uma revisão separada.

Package Hunter vem para nos salvar aqui e permite que você detecte facilmente o código malicioso em um pacote de dependência.

Melhorando a segurança da cadeia de suprimentos de software

Muitos ataques da cadeia de suprimentos envolvem um pacote de dependência comprometido.

Normalmente, o atacante injeta código malicioso no código de dependência disponível para o público ou cria um repositório privado separado para distribuir a dependência mal-intencionada que parece segura.

Mesmo se você estiver usando um gerenciador de pacotes para obter pacotes confiáveis, ele pode ser enganado para baixar pacotes de um repositório privado. E você não terá ideia disso.

Assim, com uma verificação adicional à cadeia de suprimentos que é tão conveniente quanto o Package Hunter, a segurança da cadeia de suprimentos de software deve melhorar.

E, especialmente, se a segurança da cadeia de suprimentos de origem aberta melhorar, a segurança do software de código aberto irá gradualmente obter um impulso também.

Como funciona? Como você pode obtê-lo?

Package Hunter pesquisa por código malicioso e mantém um olho no comportamento inesperado das dependências.

Ele instala as dependências em um ambiente de caixa de areia para monitorar e detectar qualquer anomalia.

A partir de agora, ele suporta testes de módulos NodeJS e Gems Ruby.

O GitLab tem usado a ferramenta internamente por um tempo. E agora, integra-se perfeitamente com o GitLab.

Você pode aprender mais sobre como configurá-lo referindo-se à documentação oficial e as instruções do Package Hunter CLI.

Está disponível como um projeto livre e de código aberto no GitLab.

O que você acha da ferramenta de código aberto do GitLab para ajudar a detectar código malicioso? Sinta-se à vontade para compartilhar seus pensamentos nos comentários abaixo.

Via itsfoss.com. Você pode conferir o post original em inglês:

GitLab’s New Open Source Tool Will Detect Malicious Code

Última atualização deste artigo: 27 de julho de 2021

PROPAGANDA
PROPAGANDA