Sicurezza nelle immagini npm dei repository pubblici, tra le mosse di GitHub e tool OpenSource per tutelarsi

GitHub

Abbiamo trattato molte volte nel recente passato la questione sicurezza relativa a piccole porzioni di software che sorreggono l’intero ecosistema di un’applicazione. Chi di noi infatti non ricorda questa famosissima immagine di xkcd:

Abbiamo anche parlato delle conseguenze nefaste provocate da azioni unilaterali di sviluppatori di piccoli software che sono però inclusi come dipendenze e diventano critici, ricordate il nostro articolo “La strana storia del pacchetto npm peacenotwar nato protest-ware e diventato in poco tempo malware“?

Ma le modalità effettive per proteggersi, quali sono?

GitHub, per esempio, sta continuando a portare avanti il progetto di aumentare la sicurezza dei repository andando a richiedere a tutti gli sviluppatori la two-factor authentication (2FA) entro la fine del 2023. Per quanto l’aspetto dell’autenticazione possa sembrare marginale nell’ambito dei problemi come quello descritto nella vicenda del protest-ware qui sopra, in realtà le cose sono molto correlate.

Infatti la mossa di GitHub è strettamente correlata alla supply chain dei pacchetti npm. Basta infatti guardare i numeri: oggi solo il 16,5% circa degli utenti GitHub attivi e il 6,44% degli utenti npm utilizzano una o più forme di 2FA. Da qui la scelta di GitHub:

A febbraio è stata imposta la 2FA a tutti i manutentori dei primi 100 pacchetti nel registro np, mentre a marzo tutti gli account npm sono stati impostati con la verifica dell’accesso avanzata. Il 31 maggio tutti i manutentori dei primi 500 pacchetti npm saranno obbligati ad usare la 2FA.

Insomma, si saprà sempre con chiarezza chi pubblica immagini npm, aumentando in generale la sicurezza della supply chain.

Ma non finisce qui.

Anche la Open Source Security Foundation si è mossa per estendere la sicurezza su questo tema così sentito. È stato infatti reso disponibile un software, denominato con molta fantasia package-analysis il cui intento è quello di rilevale malicious code all’interno di pacchetti npm.

Il suo utilizzo, come racconta ampiamente questo articolo di BleepingComputer dal titolo “Open source ‘Package Analysis’ tool finds malicious npm, PyPI packages” è pensato per l’analisi contestuale dei pacchetti e la fornitura di un giudizio. E se quanto descritto sta facendo rima nelle vostre test con Continuous Integration e Continuous Delivery avete capito perfettamente di cosa si sta parlando: uno strumento per produrre software sicuro.

Tutto questo per dire, ancora una volta, che la vera sfida dei nostri tempi è quella della sicurezza.

Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.

Fonte: https://www.miamammausalinux.org/2022/05/sicurezza-nelle-immagini-npm-dei-repository-pubblici-tra-le-mosse-di-github-e-tool-opensource-per-tutelarsi/

Visited 31 times, 1 visit(s) today
Se vuoi sostenerci, puoi farlo acquistando qualsiasi cosa dai diversi link di affiliazione che abbiamo nel nostro sito o partendo da qui oppure alcune di queste distribuzioni GNU/Linux che sono disponibili sul nostro negozio online, quelle mancanti possono essere comunque richieste, e su cui trovi anche PC, NAS e il ns ServerOne. Se ti senti generoso, puoi anche donarmi solo 1€ o più se vuoi con PayPal e aiutarmi a continuare a pubblicare più contenuti come questo. Grazie!

Hai dubbi o problemi? Ti aiutiamo noi!

Se vuoi rimanere sempre aggiornato, iscriviti al nostro canale Telegram.
Se vuoi ricevere supporto per qualsiasi dubbio o problema, iscriviti alla nostra community Facebook o gruppo Telegram.
Cosa ne pensi? Fateci sapere i vostri pensieri nei commenti qui sotto.
Ti piace quello che leggi? Per favore condividilo con gli altri.
Amazon Music
Scopri le ultime offerte per dischi ssd su Acquista su Amazon
Scopri le ultime offerte per memorie RAM DDR su Acquista su Amazon
Scopri le ultime offerte per Chromebook su Acquista su Amazon
Scopri le ultime offerte per Raspberry su Acquista su Amazon

Potrebbero interessarti anche...

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.