Socket geht über JavaScript und Python hinaus und gelangt in Go • The Register

Jul 31, 2023

Interview Das Open-Source-Sicherheitsunternehmen Socket erweitert seinen Quellcode-Abhängigkeitsprüfer, der bisher nur JavaScript und Python berücksichtigte, um Unterstützung für die Überprüfung von Go-Code.

Als das Sicherheitsunternehmen eine 20-Millionen-Dollar-Finanzierungsrunde der Serie A ankündigte, hatte es eine arbeitsreiche Woche mit drei Ergänzungen zum Toolkit seines Codes:

„Open-Source-Software hat die Art und Weise, wie wir Anwendungen entwickeln, revolutioniert, aber sie hat auch ihre eigenen Herausforderungen mit sich gebracht“, sagte ihr CEO Feross Aboukhadijeh gegenüber The Register. „Eine der größten Herausforderungen besteht darin, die Sicherheit des riesigen Abhängigkeitsnetzes zu gewährleisten, auf das moderne Anwendungen angewiesen sind.“

„Anwendungen verwenden einfach so viele Abhängigkeiten, dass es einem den Kopf verdreht. Ein anschauliches Beispiel ist der Discord-Desktop-Client, der mehr als 19.000 Abhängigkeiten verwendet, die von mehr als 380.000 Mitwirkenden aus mehr als 200 Ländern erstellt wurden.“

Durch die Ausweitung auf Go versuche Socket, Aboukhadijeh zufolge, Entwicklern dabei zu helfen, sicherere Software zu entwickeln, indem Sicherheitsrisiken identifiziert werden. Oder dies geschieht in zwei Tagen, entsprechend dem Veröffentlichungsdatum der Ankündigung, dem 3. August 2023.

Go, sagte Aboukhadijeh, „ist eine Sprache, die in der Entwicklergemeinschaft, insbesondere bei Socket-Kunden, eine schnelle Akzeptanz gefunden hat. Go ist für seine Einfachheit und Effizienz bekannt, was es zu einer beliebten Wahl für Hochleistungsanwendungen macht. Allerdings wie jede andere Sprache.“ , ist es nicht immun gegen Sicherheitsrisiken, insbesondere aufgrund seines dezentralen VCS-basierten Ansatzes zum Abrufen von Abhängigkeiten.“

Socket, das letztes Jahr eingeführt wurde, bietet eine kostenlose Stufe für Einzelentwickler sowie kostenpflichtige Team- und Unternehmensstufen. Es unterscheidet sich von Mitbewerbern dadurch, dass es zwar andere Sicherheitsscanner zur Bewertung von Open-Source-Paketen gibt, diese jedoch im Allgemeinen bekannte Schwachstellen untersuchen. Socket verfolgt den umgekehrten Ansatz und geht von der Annahme aus, dass alle Open-Source-Pakete möglicherweise bösartig sind.

„Socket analysiert das Verhalten eines Pakets, um Installationsskripte, verschleierten Code, privilegierte APIs wie Shell, Netzwerk, Dateisystem und Umgebungsvariablen abzufangen“, twitterte der Sicherheitsshop letztes Jahr.

Die Entstehung von Socket folgt auf die jüngste Entdeckung erheblicher Angriffe auf die Software-Lieferkette. Dazu gehören Versuche, Softwareanwendungen über die Bibliotheken oder Skripte von Drittanbietern zu kompromittieren, die während des Erstellungs- und Integrationsprozesses ausgeführt werden.

Die Verbreitung solcher Angriffe hat zu einem US-Bundesauftrag geführt, Programmierern ihre Softwareentwicklungspraktiken neben anderen damit verbundenen Initiativen durch eine Software Bill of Materials (SBOM) dokumentieren zu lassen.

Socket hat außerdem eine kostenlose Browsererweiterung für Chromium-basierte Webbrowser, Firefox, eingeführt, die darauf abzielt, Sicherheitsanalysedaten für Codepakete anzuzeigen, die in der NPM-Registrierung gehostet werden. Eine Version des Plugins wird auch für Apples Safari-Browser verfügbar sein.

„Unser Ziel ist es, Informationen zu produzieren, für deren Aufdeckung Entwickler sonst stundenlang suchen müssten, und sie dem Entwickler im entscheidenden Moment direkt zur Verfügung zu stellen, wenn er nach einem neuen Open-Source-Paket sucht, das er der Anwendung hinzufügen kann“, sagte Aboukhadijeh .

Es kommt mittlerweile häufig vor, dass Kriminelle versuchen, kompromittierten Code in den NPM-Paketmanager für JavaScript einzuschleusen, damit ahnungslose Entwickler die manipulierten Bibliotheken zu ihren Apps hinzufügen. Die Socket-Browsererweiterung durchsucht Webseiten nach NPM-Paketen, sodass leichter festgestellt werden kann, ob Anlass zum Verdacht besteht.

„Die Herausforderung, Open-Source-Software zu sichern, ist eine rekursive“, sagte Aboukhadijeh. „Es geht nicht nur darum, dass App-Entwickler sichere Abhängigkeiten wählen, sondern auch darum, dass diese Abhängigkeiten selbst auf sichere Abhängigkeiten angewiesen sind usw. Diese Komplexität unterstreicht, wie wichtig es ist, Sicherheitsinformationen allgemein zugänglich zu machen.“

Aboukhadijeh sagte, dass Socket gerne Sicherheitsanalysedaten auf seiner Website kostenlos zur Verfügung stelle, und verwies auf ein Beispiel dafür, wie solche Daten Entwickler vor fehlerhaftem Code warnen können.

„Hier ist zum Beispiel ein Socket-Paketbericht für ein mit Malware beladenes Paket, das zum Zeitpunkt der Veröffentlichung immer noch von NPM gehostet wird: https://socket.dev/npm/package/bobjoll/overview/6.640.3. Für Entwickler, die das möchten Wenn Sie tiefer graben, stellt Socket hilfreicherweise hier einen Deep-Link zur Schaddatei bereit: https://socket.dev/npm/package/bobjoll/files/6.640.3/scripts/script.js“

Mit der Browsererweiterung des Unternehmens werden diese Daten auf relevanten NPM-Paket-Webseiten angezeigt, etwa so:

Screenshot der NPM-Seite für das Bobjoll-Paket mit Socket-Erweiterung – Zum Vergrößern anklicken

Ein weiteres in Vorbereitung befindliches Produkt – für Kunden, die sich für die kostenpflichtige Stufe von Socket entscheiden – wird die Möglichkeit bieten, eine unternehmensweite Abhängigkeitssuche durchzuführen, die ebenfalls in einem veröffentlichten Blogbeitrag ausführlich beschrieben wird. Mit dieser Funktion können Unternehmen in allen ihren Software-Repositorys nach bestimmten Abhängigkeiten suchen, um eine bessere Vorstellung davon zu erhalten, was sich im Netzwerk befindet.

„Die Richtlinie des Weißen Hauses zu SBOMs betonte deren Bedeutung für die Softwaretransparenz“, sagten die Socket-Software-Schläger Bradley Meck Farias, Mikola Lysenko und Segun Adebayo in dem Beitrag. „Leider sammeln nur wenige Unternehmen überhaupt SBOMs, geschweige denn, sie produktiv zu nutzen. Bei der Abhängigkeitssuche von Socket geht es nicht nur darum, diese SBOMs zu sammeln, sondern auch [nützliche Erkenntnisse] bereitzustellen.“

Dieser letzte Satz enthielt die Wörter „umsetzbar“ und „operationalisierend“, weshalb wir die Passage umschrieben haben.

„Wir glauben, dass alle Entwickler diese wichtigen Informationen zur Hand haben sollten, wenn sie entscheiden, welche Abhängigkeiten sie verwenden möchten, unabhängig davon, ob ihr Unternehmen ein Socket-Kunde ist“, sagte Aboukhadijeh. „Bei diesem Ansatz geht es nicht nur darum, das Richtige zu tun; es ist auch unsere Art, es an die Open-Source-Community weiterzugeben, der wir angehören.“ ®

Senden Sie uns Neuigkeiten