GitLab construye una nueva herramienta de código abierto para buscar código malicioso en dependencias

AS-076-2021

Fecha: 30/Julio/2021

Resumen:

GitLab anunció la semana pasada el lanzamiento de una nueva herramienta de código abierto diseñada para ayudar a los desarrolladores de software a identificar el código malicioso en las dependencias de sus proyectos.

La reutilización de código es un enfoque central de la programación actual, pero la implementación de bibliotecas de código abierto en el software conlleva riesgos inherentes. Uno de ellos está relacionado con el uso de paquetes que podrían contener código malicioso, ya sea debido a que el paquete se ve comprometido o debido a la dependencia de dependencias comprometidas.

La identificación de código vulnerable o malicioso es esencial para garantizar la seguridad del software y los usuarios, especialmente porque los casos en los que los actores de amenazas comprometen la cadena de suministro de código abierto, están en aumento.

Lo que GitLab se propone lograr con la nueva herramienta, llamada Package Hunter, es la detección de código malicioso que se ejecutaría dentro de las dependencias de una aplicación.

Para ello, la nueva herramienta instala las dependencias en un sandbox y vigila de cerca las llamadas del sistema ejecutadas durante la instalación, para identificar las que puedan ser sospechosas y reportarlas al usuario, para su posterior examen.

La herramienta se ha utilizado internamente en GitLab desde noviembre de 2020, y ahora está disponible para el público, en código abierto. Por el momento, Package Hunter solo incluye soporte para módulos NodeJS y Ruby.

Referencia:

https://www.securityweek.com/gitlab-releases-open-source-tool-hunting-malicious-code-dependencies