Cosa si nasconde nel tuo codice?

Tutti i messaggi

Barak Brudo

Anche i progetti più semplici tendono a crescere rapidamente e questa tendenza è amplificata dalla facilità di incorporare pezzi di codice o librerie di nodi esistenti.

È ancora in qualche modo gestibile quando sei l'unico a scrivere quel codice, ma diventa più difficile quando il codice viene scritto da un numero di sviluppatori e team, come avviene normalmente.

Anche il team leader, colui che ha il compito di approvare tutte le richieste pull, non può conoscere ogni riga di codice, ogni funzione e ogni variabile.

Una questione di fiducia

Questo è uno dei motivi per cui è avvenuta una piccola modifica al codice nell'app Orion alla fine del 2020, nel caso successivamente noto come vento solare, è passato inosservato per così tanto tempo. L'intera modifica consisteva in poche dozzine di righe di codice, ed erano molto buone nascosto all'interno della classe originale.

Il prodotto modificato era firmato correttamente, quindi non c'era motivo di sospettarlo e i team di sviluppo si fidavano del proprietario del codice.

Solo di recente abbiamo appreso che NPM aveva un “difetto logico" che ha consentito ad autori malintenzionati di spacciare librerie canaglia come legittime. Fondamentalmente, NPM consentiva di aggiungere chiunque come manutentore di un pacchetto senza avvisare questi utenti o ottenere il loro consenso. 

Ciò ha consentito di creare pacchetti contenenti malware e di assegnarli a manutentori affidabili e famosi a loro insaputa. Un caso di fiducia malriposta potrebbe significare una vulnerabilità problematica nascosta nel tuo codice.

Un'altra pratica comune da considerare è che gli sviluppatori copiano e incollano il codice dalle librerie esistenti o da StackOverFlow per utilizzarlo nel proprio codice o per ricaricarlo in nuove librerie. Ciò aumenta la possibilità di copiare anche codice non sicuro e vulnerabile che ora è sostanzialmente non tracciato. Anche se il codice originale riceve un CVE ed eventualmente una riparazione, la funzione problematica che hai copiato è invisibile e potrebbe contaminare qualsiasi base di codice che la utilizzerebbe negli anni a venire. 

In un recente studio condotto presso l’Università del Kansas (“Cos'è la Forchetta? Trovare cloni di codice nascosti in npm”), i ricercatori illustrano come l’utilizzo anche di pacchetti completamente controllati possa essere pericoloso.

Cosa si può fare?

Pertanto, non puoi fidarti dei prodotti firmati e degli aggiornamenti dei fornitori. Il tuo codice potrebbe essere già stato modificato o aggiunto, a causa di tutte quelle librerie esterne e del codice incorporato al suo interno. Cosa puoi fare, quindi, per essere veramente sicuro di non installare file dannosi nel tuo sistema?

Ci sono alcune cose che puoi fare:

  1. Richiedi una SBOM completa a ciascun proprietario di libreria o fornitore di programmi che incorpori. Una SBOM può aiutarti a verificare quali siano tutti gli "ingredienti" nella libreria o nel prodotto. Inoltre, se trovi qualcosa nella libreria o nel prodotto che non è elencato nella SBOM, dovrebbe essere considerato sospetto. Puoi saperne di più su cos'è una SBOM qui.
  2. Richiedi un'attestazione attendibile al venditore o al proprietario della biblioteca che sia stato effettuato un controllo di integrità e che stai ottenendo ciò che ti aspetti. Non dovresti fidarti solo della garanzia del venditore.
  3. Durante l'installazione dei pacchetti utilizzare il flag CLI npm --ignore-scripts per evitare di eseguire script da pacchetti di terze parti durante la fase di installazione.
  4. Utilizzare Pacchetto-lock.json file per bloccare i numeri di versione del pacchetto. Quando usi a Pacchetto-lock.json non blocchi solo le versioni del pacchetto che stai utilizzando, ma blocchi anche le loro dipendenze. Il rischio è che non verranno inseriti aggiornamenti automatici del pacchetto che potrebbero includere correzioni a vari bug. Ma, se ti sei impegnato per verificare una determinata versione e non vuoi includere nient'altro senza prima verificarla, bloccare i numeri di versione è l'opzione migliore.

A seguire nuove regole, si prevede che la maggior parte delle persone inizierà a utilizzare le SBOM in un futuro molto prossimo. Più aziende richiederanno SBOM e altri attestati, più organizzazioni e manutentori dovranno conformarsi.

Questo contenuto è offerto da Scribe Security, un fornitore leader di soluzioni di sicurezza end-to-end per la catena di fornitura di software, che offre sicurezza all'avanguardia per artefatti di codice e processi di sviluppo e distribuzione del codice attraverso le catene di fornitura di software. Per saperne di più.

Post Correlati

immagine caratteristica
Cosa riserva il futuro per VEX? E come ti influenzerebbe?

La velocità con cui vengono scoperte nuove vulnerabilità è in costante aumento. Attualmente si attesta ad una media di 15,000 CVE all'anno. Il 2022 si distingue con oltre 26,000 nuovi CVE segnalati. Ovviamente, non tutte le vulnerabilità sono rilevanti per il tuo software. Per capire se una particolare vulnerabilità è un problema, devi prima capire […]

Immagine dei dadi di rischio
Utilizzo di SBOM e analisi dei feed per proteggere la catena di fornitura del software

"I fornitori di software devono essere ritenuti responsabili quando non riescono a rispettare il dovere di diligenza nei confronti dei consumatori, delle imprese o dei fornitori di infrastrutture critiche" (la Casa Bianca). Oggi, ci si aspetta che qualsiasi fornitore di software si assuma una maggiore responsabilità nel garantire l’integrità e la sicurezza del software attraverso accordi contrattuali, rilasci e aggiornamenti del software, notifiche e […]

Immagine della backdoor
Strumenti SBOM in soccorso: il case backdoor XZ Utils

Cos'è la backdoor XZ Utils (CVE-2024-3094)? CVE-2024-3094, pubblicato all'inizio di aprile 2024, è una backdoor inserita in modo dannoso in un'utilità Linux. È stato rilevato da Andres Freund, un ingegnere informatico Microsoft curioso e attento alla sicurezza, sul punto di essere integrato nelle principali distribuzioni Linux. Se ciò fosse riuscito, un numero inimmaginabile di server […]

Post più popolari
Strumenti SBOM in soccorso: il case backdoor XZ UtilsPassi pratici verso la protezione della pipeline MLOpsDal caos alla chiarezza: navigare nel motore delle policy per la conformitàCos'è l'ASPM?®
Categorie