A forráskód minden alkalmazás vagy szoftvertermék alapvető építőköveit képezi. Ez minden technológia-központú szervezet gerince. A forráskód a vállalat szellemi tulajdonára vonatkozó védett információknak ad otthont, és védi a vállalat működését biztosító adatokat.
A harmadik féltől származó nyílt forráskódú komponensek integrálása megkönnyíti a szoftvercsapatok számára a már rendelkezésre álló kód felhasználását anélkül, hogy a nulláról kellene fejleszteniük. Sajnos az ilyen kényelem hátulütője olyan kockázatokkal jár, amelyek a harmadik fél beszállítókat veszik célba, és ellátási láncot érintő támadásokat okoznak. Egy ellátási láncot érintő támadás során a kiberbűnözők rosszindulatú szoftvereket illeszthetnek be harmadik féltől származó kódba vagy épített rendszerekbe, így rosszindulatú szoftvereket juttatva el a szervezethez és a hozzá kapcsolódó ügyfelekhez.
Ebben a blogban bemutatom, hogyan lehet megelőzni a forráskódban lévő rosszindulatú szoftvereket a MetaDefender Jenkins plugin segítségével.
Secure Építkezések a MetaDefender Plugin for Jenkins segítségével
A MetaDefender for Jenkins plugin átvizsgálja a Jenkins-építéseket rosszindulatú szoftverek után, és ellenőrzi a forráskódot és az artefaktumokat fenyegetések szempontjából. A fejlett rosszindulatú szoftverek könnyen kijátszhatnak egyetlen vírusirtó (AV) motort, így a forráskód is veszélybe kerülhet. A rosszindulatú szoftverek felismerésének téves pozitív eredménye szintén gyakori mellékhatás a legtöbb AV-megoldásnál, ami elvesztegetett helyreállítási erőfeszítésekhez, időhöz és erőforrásokhoz vezet. A MetaDefender for Jenkins a Metascan-t - egytöbbszörös szkennelési technológiát- használja, hogy növelje a felismerési arányokat és csökkentse a szoftverépítések kitöréseinek felismerési idejét.
Az alábbi két forgatókönyv mutatja be, hogyan tudnak a rosszindulatú programok beszivárogni: a forráskódban és a készítési folyamat során.
1. forgatókönyv: Rosszindulatú szoftver a forráskódban
A forráskód ebben az esetben lehet saját forráskód (egy fejlesztő kompromittált gépéről) vagy egy harmadik féltől származó könyvtárból. Az első forgatókönyvben egy harmadik féltől származó könyvtártárat akartam ellenőrizni a GitHubon. Hogy megbizonyosodjak arról, hogy a tároló fenyegetésmentes, hozzáadtam egy építési lépést a MetaDefender Jenkins bővítménnyel történő ellenőrzéshez.
Azt is akartam, hogy a build "failed"-ként térjen vissza, ha a forráskódban veszélyek vannak.
Miután megpróbálta futtatni a buildet, az eredmény "failed" (sikertelen) lett megjelölve a MetaDefender Jenkins plugin által elkapott fertőzött fájlok miatt.
2. forgatókönyv: Az építési folyamat során behurcolt rosszindulatú szoftverek
Ha azt gondolja, hogy a forráskód védelméhez elegendő a tárolóhely átvizsgálása, ez nem mindig igaz. Egyes rosszindulatú programok nem az eredeti forráskód-tárban léteznek, hanem a komponensek, például függőségek vagy könyvtárak letöltésekor kerülhetnek be. Ebben a második videóban a második forgatókönyvre mutatok be egy példát, és azt, hogyan lehet megelőzni a MetaDefender Jenkins plugin segítségével.
Mint látható, az első futtatás során a forráskód átvizsgálása után nem találtam problémákat.
Ezután egy új build.bat fájl segítségével hozzáadtam egy új build-lépést a folyamathoz, és újra elindítottam a buildet.
Demonstrációs célokra az npm segítségével letöltöttem egy EICAR tesztcsomagot, hogy szimuláljam a rosszindulatú programok telepítésének műveletét egy valós forgatókönyvben. Ebben az esetben, bár az eredeti forráskódban nem volt semmilyen fenyegetés, a rosszindulatú npm csomag a szkriptben fordult elő a készítés során. A MetaDefender Jenkins plugin észlelte a fenyegetést, és a buildet sikertelennek jelölte.
A részletes vizsgálati eredmények a MetaDefender Core oldalon láthatók.
az OPSWAT MetaDefender for Jenkins oldalról
OPSWAT MetaDefender for Jenkins ellenőrzi a buildeket rosszindulatú programok és titkok szempontjából, mielőtt kiadná az alkalmazást a nyilvánosságnak. A MetaDefender platform teljes képességeit használja - beleértve több mint 30 vezető vírusirtó motort, Deep CDR, és Proactive DLP-a MetaDefender plugin for Jenkins alaposan átvizsgálja a forráskódot és a leletek minden fenyegetéstől. A potenciális problémákról a beépített hibabiztosítókon keresztül értesül, amelyek segítenek megelőzni a rosszindulatú programok kitörését és az érzékeny adatok kiszivárgását. Tudjon meg többet a MetaDefender for Jenkins és más ingyenes eszközökről aOPSWAT oldalon.
További információért forduljon kiberbiztonsági szakértőinkhez.
