Поскольку программные проекты продолжают расти, разработчики склонны использовать все больше и больше сторонних библиотек. Это делает процесс отгрузки новых функций более быстрым и эффективным. Однако, когда ваша программа зависит от библиотек, созданных кем-то другим, есть большая вероятность, что может произойти что-то неожиданное.

Растет число атак на цепочки поставок программного обеспечения с использованием модулей, содержащих вредоносный код. GitLab разработал новый инструмент под названием Package Hunter для предотвращения этих атак.

Как работает Package Hunter?

Package Hunter - это надежный инструмент для мониторинга зависимостей в программных модулях и предупреждения программистов о нежелательном поведении. Это проект с открытым исходным кодом, разработанный командой безопасности GitLab. На момент написания Package Hunter работает с Модули NodeJS и Ruby Gems.

Он анализирует зависимости вашей программы на предмет вредоносного кода. Для этого Package Hunter установит необходимые модули в песочнице и

instagram viewer
контролировать системные вызовы. Если какой-либо из этих системных вызовов выглядит подозрительно или необычно, Package Hunter немедленно уведомит разработчика.

Под капотом Package Hunter использует Falco, облачный проект безопасности, который может обнаруживать угрозы во время выполнения. Это сокращает время, необходимое программистам для проверки кода вручную.

Как использовать Package Hunter в ваших проектах

Package Hunter легко интегрируется с существующими инструментами GitLab. Чтобы использовать его в своем проекте, сначала установите программное обеспечение на локальный компьютер. Следуйте этим инструкция по установке Package Hunter.

Обратите внимание, что для этого пакета требуются Falco 0.23.0, Docker 20.10 (или новее) и Node 12.21 (или новее). Вы можете начать использовать Package Hunter в конвейерах CI после завершения установки. Следуйте этим инструкции по использованию Package Hunter в конвейерах CI.

Защитите свое программное обеспечение с помощью Package Hunter

Package Hunter от GitLab - эффективный инструмент для разработчиков, которые постоянно ищут вредоносный код в своих проектах. Поскольку атаки на цепочки поставок становятся все более распространенными, нам необходимо быстро адаптироваться для защиты нашего программного обеспечения. Четкое представление об этих атаках имеет решающее значение для защиты вашего следующего большого проекта.

ДелитьсяТвитнутьЭл. адрес
Что такое взлом цепочки поставок и как обезопасить себя?

Не можете прорваться через входную дверь? Вместо этого атакуйте сеть цепочки поставок. Вот как работают эти хаки.

Читать далее

Похожие темы
  • Безопасность
  • Открытый исходный код
  • Интернет-безопасность
  • Черный ход
Об авторе
Рубайат Хосейн (Опубликовано 39 статей)

Рубайат - выпускник компьютерных наук с сильной страстью к открытым исходным текстам. Помимо того, что он ветеран Unix, он также занимается сетевой безопасностью, криптографией и функциональным программированием. Он заядлый коллекционер подержанных книг и безгранично восхищается классическим роком.

Ещё от Rubaiat Hossain

Подписывайтесь на нашу новостную рассылку

Подпишитесь на нашу рассылку технических советов, обзоров, бесплатных электронных книг и эксклюзивных предложений!

Нажмите здесь, чтобы подписаться