„Apiiro“ saugumo tyrinėtojai išleido du nemokamus atvirojo kodo įrankius, skirtus aptikti ir užkirsti kelią kenksmingam kodui, prieš pridedant juos prie programinės įrangos projektų, siekiant pažaboti tiekimo grandinės atakas.
Du įrankius sudaro išsamus SEMGREP ir „OpenGrep“ taisyklių rinkinys, skirtas aptikti kenksmingus kodo modelius su minimaliais klaidingais teiginiais ir užkirsti kelią „GitHub“ integruotam skaitytuvui, kuris nustato ir įspėja apie įtartiną kodą „Pull užklausose“ (PRS).
Anot Apiiro saugumo tyrinėtojo Matano Giladi, įrankiai turi minimalų klaidingai teigiamą aptikimo procentą, todėl jie yra ypač vertingi realaus pasaulio praktikoje.
Tiksliau, PYPI paketų taisyklių rinkinio aptikimo tikslumas yra 94,3%, o jis sumažėja iki vis dar įspūdingo 88,4% NPM paketų. Užkirsti kelią sėkmingai vėliavos kenksmingiems PRS 91,5% ištirtų atvejų.
Šaltinis: Apiiro
Gaudykite kenksmingą kodą
„Apiiro“ kenksmingos kodo nustatymo strategija yra pagrįsta „kodo anti-modelių“ identifikavimu, kurie yra įtartini kodo modeliai, parodantys elgesį, kuris yra retas teisėtas kodas, bet paplitęs kenkėjiškose programose.
Aptikimo sistema naudoja statinę analizę, tai reiškia, kad ji tiria kodą jo nevykdydamas, apsaugodama aplinką nuo atsitiktinių infekcijų.
Šie anti modeliai apima:
- Įvairūs užmaskavimo metodai, tokie kaip kodavimas, įdėtos transformacijos ir vykdymo laiko modifikacijos, padedančios paslėpti kodo funkcionalumą ir ketinimą.
- EXEC (), EVER () ar panašių funkcijų naudojimas, leidžiantis vykdyti savavališką kodo vykdymą vykdymo metu.
- Kodas, kuris atsisiunčiamas ir vykdo nuotolines naudingas krovinius iš išorinių, nežinomų serverių.
- Nuostabių vartotojo duomenų išorinių vietų eksfiltruojant metodai.
Šis taisyklių rinkinys gali būti integruotas į CI/CD vamzdynus, skirtus automatiniam saugyklos nuskaitymui, naudojamam NPM ir PYPI paketų nuskaitymui, arba pritaikytą prie kitų platformų, naudojant „Semgrep“ arba „OpenGrep“.
„Preven“, kuri naudoja tuos pačius anti-modelius, yra skirtas nuskaityti „Pull Request“ įvykius realiuoju laiku prieš sujungus kodą, sustabdant bet kokias grėsmes prieš jiems pasiekiant gamybą.
Šaltinis: Apiiro
Gali būti nustatyta, kad jis blokuoja susijungimą, kol įgaliotasis recenzentas jį patvirtins arba pridėti komentarus aptiktais klausimais, kad kūrėjai būtų įspėti apie riziką.
Šaltinis: Apiiro
„Apiiro“ pripažįsta, kad jo įrankiai vis dar yra praktiškai riboti, nes jie negali aptikti kenkėjiškų programų, paslėptų sudarytuose dvejuose, ir tiesiogiai nuskaityti NPM ir PYPI paketus, tačiau planuojama pridėti daugiau funkcijų, tokių kaip „Deep Code“ analizė ir AI-pagalbininkai nuskaitymai būsimuose atnaujinimuose.
Tiek kenksmingo kodo aptikimo taisyklių rinkinys, tiek „Preven“ įrankis yra nemokamai prieinami „GitHub“, o instrukcijos, kaip jas naudoti.
„Bleepingcomputer“ neišbandė šių saugos priemonių ir negali garantuoti jų efektyvumo ar saugumo.
