När mjukvaruprojekt fortsätter att växa tenderar utvecklare att använda fler och fler tredjepartsbibliotek. Det gör leverans av nya funktioner till en snabbare och mer effektiv process. Men när ditt program är beroende av bibliotek som skapats av någon annan, är det stor chans att något oväntat kan hända.

Det har blivit ett växande antal programvaruförsörjningskedjeanfall som utnyttjar moduler som innehåller skadlig kod. GitLab har tagit fram ett nytt verktyg som heter Package Hunter för att förhindra dessa attacker.

Hur fungerar Package Hunter?

Package Hunter är ett robust verktyg för att övervaka beroenden i programvarumoduler och varnar programmerare om oönskade beteenden. Det är ett projekt med öppen källkod som utvecklats av GitLab-säkerhetsteamet. I skrivande stund arbetar Package Hunter med NodeJS -moduler och Ruby Gems.

Det analyserar programmets beroenden för att leta efter skadlig kod. För att göra detta kommer Package Hunter att installera de nödvändiga modulerna i en sandlådemiljö och

instagram viewer
övervaka systemsamtalen. Om något av dessa systemanrop ser misstänkt eller ovanligt ut, meddelar Package Hunter utvecklaren omedelbart.

Under huven använder Package Hunter Falco, ett molnbaserat säkerhetsprojekt som kan upptäcka hot vid körning. Det minskar tiden programmerare behöver granska koden manuellt.

Hur du använder Package Hunter i dina projekt

Package Hunter integreras enkelt med befintliga GitLab -verktyg. För att använda den för ditt projekt, installera först programvaran på din lokala dator. Följ dessa instruktioner för att installera Package Hunter.

Observera att detta paket kräver Falco 0.23.0, Docker 20.10 (eller senare) och nod 12.21 (eller senare). Du kan börja använda Package Hunter i CI -pipelines när installationen är klar. Följ dessa instruktioner för att använda Package Hunter i CI -rörledningar.

Skydda din programvara med Package Hunter

GitLabs Package Hunter är ett effektivt verktyg för utvecklare som ständigt letar efter skadlig kod i sina projekt. I takt med att attacker i leveranskedjan blir allt vanligare måste vi anpassa oss snabbt för att skydda vår programvara. Att ha en klar uppfattning om dessa attacker är avgörande för att skydda ditt nästa stora projekt.

Dela med sigTweetE-post
Vad är ett supply chain -hack och hur kan du vara säker?

Kan du inte bryta igenom ytterdörren? Attackera leveranskedjan i stället. Så här fungerar dessa hack.

Läs Nästa

Relaterade ämnen
  • säkerhet
  • Öppen källa
  • Online säkerhet
  • Bakdörr
Om författaren
Rubaiat Hossain (39 artiklar publicerade)

Rubaiat är en CS-examen med en stark passion för öppen källkod. Förutom att vara Unix -veteran, är han också intresserad av nätverkssäkerhet, kryptografi och funktionell programmering. Han är en ivrig samlare av begagnade böcker och har en oändlig beundran för klassisk rock.

Mer från Rubaiat Hossain

Prenumerera på vårt nyhetsbrev

Gå med i vårt nyhetsbrev för tekniska tips, recensioner, gratis e -böcker och exklusiva erbjudanden!

Klicka här för att prenumerera