Man mano che i progetti software continuano a crescere, gli sviluppatori tendono a utilizzare sempre più librerie di terze parti. Rende la spedizione di nuove funzionalità un processo più rapido ed efficiente. Tuttavia, quando il tuo programma dipende da librerie create da qualcun altro, ci sono buone probabilità che accada qualcosa di inaspettato.

C'è stato un numero crescente di attacchi alla catena di fornitura del software che sfruttano moduli contenenti codice dannoso. GitLab ha creato un nuovo strumento chiamato Package Hunter per prevenire questi attacchi.

Come funziona Package Hunter?

Package Hunter è uno strumento robusto per monitorare le dipendenze nei moduli software e avvisa i programmatori di comportamenti indesiderati. È un progetto open source sviluppato dal team di sicurezza di GitLab. Al momento in cui scrivo, Package Hunter lavora con Moduli NodeJS e rubini gemme.

Analizza le dipendenze del tuo programma per cercare codice dannoso. Per fare ciò, Package Hunter installerà i moduli richiesti in un ambiente sandbox e

instagram viewer
monitorare le chiamate di sistema. Se una di queste chiamate di sistema sembra sospetta o fuori dall'ordinario, Package Hunter avviserà immediatamente lo sviluppatore.

Sotto il cofano, Package Hunter utilizza Falco, un progetto di sicurezza cloud-native in grado di rilevare le minacce in fase di esecuzione. Riduce il tempo necessario ai programmatori per rivedere il codice manualmente.

Come utilizzare Package Hunter nei tuoi progetti

Package Hunter si integra facilmente con gli strumenti GitLab esistenti. Per utilizzarlo per il tuo progetto, per prima cosa installa il software sul tuo computer locale. Segui questi istruzioni per installare Package Hunter.

Nota che questo pacchetto richiede Falco 0.23.0, Docker 20.10 (o successivo) e Node 12.21 (o successivo). È possibile iniziare a utilizzare Package Hunter nelle pipeline CI al termine dell'installazione. Segui questi istruzioni per utilizzare Package Hunter nelle pipeline CI.

Proteggi il tuo software utilizzando Package Hunter

Package Hunter di GitLab è uno strumento efficace per gli sviluppatori che cercano costantemente codice dannoso nei loro progetti. Poiché gli attacchi alla catena di approvvigionamento diventano sempre più comuni, dobbiamo adattarci rapidamente per proteggere il nostro software. Avere un'idea chiara di questi attacchi è fondamentale per salvaguardare il tuo prossimo grande progetto.

CondividereTweetE-mail
Che cos'è un hack della catena di approvvigionamento e come puoi stare al sicuro?

Non riesci a sfondare la porta d'ingresso? Attacca invece la rete della catena di approvvigionamento. Ecco come funzionano questi hack.

Leggi Avanti

Argomenti correlati
  • Sicurezza
  • Open Source
  • Sicurezza online
  • Porta sul retro
Circa l'autore
Rubaiat Hossain (39 articoli pubblicati)

Rubaiat è un laureato in CS con una forte passione per l'open-source. Oltre ad essere un veterano di Unix, si occupa anche di sicurezza di rete, crittografia e programmazione funzionale. È un appassionato collezionista di libri di seconda mano e ha un'ammirazione infinita per il rock classico.

Altro da Rubaiat Hossain

Iscriviti alla nostra Newsletter

Iscriviti alla nostra newsletter per suggerimenti tecnici, recensioni, ebook gratuiti e offerte esclusive!

Clicca qui per iscriverti