Google Assured Open Source Software (Assured OSS), un nouveau service qui protège les référentiels open source contre les attaques de la chaîne d’approvisionnement, est désormais disponible pour tous.
Un an après avoir initialement annoncé le service, Google l’a lancé en disponibilité générale plus tôt cette semaine, et au milieu des spéculations autour de son prix, a pris la décision surprise de l’offrir gratuitement. Les personnes intéressées à essayer Assured OSS n’ont qu’à créer un nouveau compte.
Aujourd’hui, le développement de logiciels s’appuie fortement sur le code open source. Les développeurs du monde entier créent des extraits de code qui sont ensuite partagés avec l’ensemble de la communauté de développement via des référentiels tels que GitHub, PyPI et autres. Cela permet à d’autres développeurs de prendre ce code et de l’implémenter dans leurs solutions sans avoir à passer des heures excessives à créer des éléments à partir de zéro.
Abuser des bonnes intentions
Cependant, cela présente également une opportunité unique pour les acteurs de la menace. S’ils pénètrent dans les comptes de développeur, ils peuvent modifier les packages existants avec du code malveillant. Si ce code malveillant finit par être intégré dans plusieurs solutions, il ouvre de nombreuses portes aux pirates pour voler des données sensibles, déployer des logiciels malveillants de deuxième étape, etc.
Même s’ils ne pénètrent pas dans les comptes, les pirates se livrent souvent à des typosquattages, créant des packages qui semblent presque identiques aux légitimes. De cette façon, les développeurs surmenés ou pressés par le temps peuvent télécharger par erreur le mauvais package et ainsi compromettre leurs produits.
Connue sous le nom d’« attaque de la chaîne d’approvisionnement », elle est devenue un vecteur assez courant de la cybercriminalité ces dernières années. L’année dernière, par exemple, Sonatype (s’ouvre dans un nouvel onglet) ont signalé qu’entre 2019 et 2022, il y avait eu plus de 95 000 nouveaux paquets malveillants, dont 55 000 rien qu’en 2021. Cela équivalait à une augmentation de 700 % des attaques de référentiels au cours de ces trois années.
« Presque toutes les entreprises modernes s’appuient sur l’open source. De toute évidence, l’utilisation de référentiels open source comme point d’entrée pour les attaques malveillantes ne montre aucun signe de ralentissement, ce qui rend la détection précoce des vulnérabilités de sécurité connues et inconnues plus importante que jamais », a déclaré Brian Fox, co-fondateur et CTO de Sonatype. .
Il a ajouté : « L’arrêt des composants malveillants avant qu’ils n’entrent dans la porte est un élément fondamental de la prévention des risques et devrait faire partie de chaque conversation sur la protection des chaînes d’approvisionnement en logiciels ».
Maintenant, Google dit qu’il gardera les bibliothèques à jour et constamment analysées pour détecter les défauts connus. Il exécutera également des tests fuzz pour rechercher de nouvelles vulnérabilités et s’engagera dans le développement de correctifs.
Via : TechCrunch (s’ouvre dans un nouvel onglet)