Socket выходит за рамки JavaScript и Python и попадает в Go • The Register

Jul 31, 2023

Интервью Компания по обеспечению безопасности с открытым исходным кодом Socket расширяет свою программу проверки зависимостей исходного кода, которая ранее охватывала только JavaScript и Python, добавив поддержку проверки кода Go.

Объявив о раунде финансирования серии А в размере 20 миллионов долларов, у компании по безопасности была напряженная неделя с тремя дополнениями к набору инструментов ее кода:

«Программное обеспечение с открытым исходным кодом произвело революцию в том, как мы разрабатываем приложения, но оно также принесло с собой ряд проблем», — сказал The Register его генеральный директор Ферос Абухадие. «Одним из важнейших является обеспечение безопасности огромной сети зависимостей, на которую полагаются современные приложения».

«Приложения используют так много зависимостей, что это уму непостижимо. Одним из показательных примеров является настольный клиент Discord, который использует более 19 000 зависимостей, созданных более чем 380 000 участниками из более чем 200 стран».

Распространив информацию на Го Абухадие, сказал, что Socket пытается помочь разработчикам создавать более безопасное программное обеспечение путем выявления угроз безопасности. Или это произойдет через два дня, согласно дате публикации объявления 3 августа 2023 года.

Go, по словам Абухадие, «это язык, который быстро получил распространение среди сообщества разработчиков, особенно среди пользователей Socket. Go известен своей простотой и эффективностью, что делает его популярным выбором для высокопроизводительных приложений. Однако, как и любой другой язык, Go известен своей простотой и эффективностью, что делает его популярным выбором для высокопроизводительных приложений. , он не застрахован от угроз безопасности, особенно из-за его децентрализованного подхода к выборке зависимостей на основе VCS».

Socket, дебютировавший в прошлом году, имеет бесплатный уровень для индивидуальных разработчиков, а также платные уровни для команд и предприятий. Он отличается от конкурентов тем, что, хотя существуют и другие сканеры безопасности для оценки пакетов с открытым исходным кодом, они обычно проверяют известные уязвимости. Socket использует противоположный подход и исходит из предположения, что все пакеты с открытым исходным кодом могут быть вредоносными.

«Socket анализирует поведение пакета, чтобы перехватить сценарии установки, запутанный код, привилегированные API, такие как переменные оболочки, сети, файловой системы и среды», — написали в прошлом году в Твиттере специалисты по безопасности.

Появление Socket последовало за недавним обнаружением серьезных атак на цепочку поставок программного обеспечения. К ним относятся попытки компрометации программных приложений с помощью сторонних библиотек или сценариев, запускаемых в процессе сборки и интеграции.

Распространение таких атак привело к тому, что федеральное правительство США обязало программистов документировать свою практику разработки программного обеспечения посредством спецификации программного обеспечения (SBOM), а также других связанных инициатив.

Socket также представил бесплатное расширение Firefox для веб-браузеров на базе Chromium, целью которого является предоставление данных анализа безопасности для пакетов кода, размещенных в реестре NPM. Версия плагина также появится для браузера Apple Safari.

«Наша цель — предоставить информацию, на поиск которой в противном случае у разработчиков ушли бы часы работы, и предоставить ее прямо под рукой разработчикам в решающий момент, когда они ищут новый пакет с открытым исходным кодом для добавления в приложение», — сказал Абухадие. .

Злоумышленники стали довольно часто пытаться внедрить скомпрометированный код в менеджер пакетов NPM для JavaScript, чтобы ничего не подозревающие разработчики добавляли скомпрометированные библиотеки в свои приложения. Расширение браузера Socket просматривает веб-страницы пакетов NPM, поэтому легче определить, есть ли основания для подозрений.

«Проблема обеспечения безопасности программного обеспечения с открытым исходным кодом является рекурсивной», — сказал Абухадиджа. «Речь идет не только о том, что разработчики приложений выбирают безопасные зависимости, но и о том, что сами эти зависимости полагаются на безопасные зависимости и т. д. Эта сложность подчеркивает важность обеспечения широкого доступа к информации о безопасности».

Абухадиджа сказал, что Socket рад бесплатно предоставить данные анализа безопасности на своем веб-сайте, и указал на пример того, как такие данные могут предостеречь разработчиков от плохого кода.

«Например, вот отчет о пакете сокетов для пакета, содержащего вредоносное ПО, который на момент публикации все еще размещается в NPM: https://socket.dev/npm/package/bobjoll/overview/6.640.3. Для разработчиков, которые хотят копните глубже, Socket предоставляет глубокую ссылку на вредоносный файл здесь: https://socket.dev/npm/package/bobjoll/files/6.640.3/scripts/script.js"