Google Assured Open Source Software (Assured OSS), ein neuer Dienst, der Open-Source-Repositories vor Angriffen auf die Lieferkette schützt, ist jetzt für alle verfügbar.
Ein Jahr nach der ursprünglichen Ankündigung des Dienstes hat Google ihn Anfang dieser Woche für die allgemeine Verfügbarkeit freigegeben und inmitten von Preisspekulationen die überraschende Entscheidung getroffen, ihn kostenlos anzubieten. Interessenten, die Assured OSS ausprobieren möchten, müssen lediglich ein neues Konto erstellen.
Softwareentwicklung basiert heute weitgehend auf Open-Source-Code. Entwickler auf der ganzen Welt erstellen Code-Snippets, die dann über Repositories wie GitHub, PyPI und andere mit der gesamten Entwickler-Community geteilt werden. Dies ermöglicht es anderen Entwicklern, diesen Code zu übernehmen und in ihre Lösungen zu implementieren, ohne zu viele Stunden damit verbringen zu müssen, Dinge von Grund auf neu zu erstellen.
Missbrauch guter Absichten
Es bietet jedoch auch eine einzigartige Gelegenheit für Bedrohungsakteure. Wenn sie in Entwicklerkonten einbrechen, können sie vorhandene Pakete mit bösartigem Code modifizieren. Wenn dieser bösartige Code in mehrere Lösungen eingebettet wird, öffnet er Hackern viele Türen, um vertrauliche Daten zu stehlen, Malware der zweiten Stufe einzusetzen und vieles mehr.
Selbst wenn sie nicht in die Konten einbrechen, machen Hacker oft Tippfehler und erstellen Pakete, die fast identisch mit den legitimen aussehen. Auf diese Weise können überarbeitete oder unter Zeitdruck stehende Entwickler versehentlich das falsche Paket herunterladen und ihre Produkte gefährden.
Der als „Supply-Chain-Angriff“ bekannte Angriff hat sich in den letzten Jahren zu einem weit verbreiteten Vektor für Cyberkriminalität entwickelt. Letztes Jahr beispielsweise berichtete Sonatype (öffnet sich in einem neuen Tab), dass es zwischen 2019 und 2022 mehr als 95 neue Schadpakete gab, davon allein 000 im Jahr 55. 000 % der Repository-Angriffe in diesen drei Jahren.
„Fast alle modernen Unternehmen setzen auf Open Source. Die Nutzung von Open-Source-Repositories als Einstiegspunkt für böswillige Angriffe zeigt eindeutig keine Anzeichen einer Verlangsamung, weshalb die frühzeitige Erkennung bekannter und unbekannter Sicherheitslücken wichtiger denn je ist“, sagte Brian Fox, Mitbegründer und CTO von Sonatype.
Er fügte hinzu: „Das Stoppen bösartiger Komponenten, bevor sie eindringen, ist ein entscheidender Teil der Risikoprävention und sollte Teil jedes Gesprächs über den Schutz von Software-Lieferketten sein.“
Jetzt sagt Google, dass es die Bibliotheken auf dem neuesten Stand halten und ständig auf bekannte Fehler scannen wird. Sie führen auch Fuzz-Tests durch, um neue Schwachstellen zu finden, und beteiligen sich an der Entwicklung von Patches.
Über: TechCrunch (Öffnet in einem neuen Tab)