.
Entrevista O Socket, biz de segurança de código aberto, está estendendo seu verificador de dependência de código-fonte, que anteriormente abordava apenas JavaScript e Python, adicionando suporte para verificação de código Go.
Ao anunciar uma rodada de financiamento da Série A de US$ 20 milhões, a loja de segurança teve uma semana movimentada com três adições ao kit de ferramentas de seu código:
- Suporte total para o ecossistema Go, adicionado em parte depois que o Socket detectou um aumento acentuado nos ataques de Golang;
- Uma extensão do Chromium e uma versão do Firefox, para verificar se os pacotes de código aberto são seguros antes do download;
- Uma adição paga que permite uma pesquisa de dependência em toda a organização, especialmente projetada para certificação de software.
“O software de código aberto revolucionou a forma como desenvolvemos aplicativos, mas também trouxe seu próprio conjunto de desafios”, disse seu CEO Feross Aboukhadijeh, ao Strong The One. “Um dos maiores é garantir a segurança da vasta rede de dependências da qual dependem os aplicativos modernos.”
“Os aplicativos usam tantas dependências que confundem a mente. Um exemplo ilustrativo é o cliente de desktop Discord que usa mais de 19.000 dependências construído por mais de 380.000 colaboradores de mais de 200 países.”
Ao estender para Go, Aboukhadijeh disse que Socket está tentando ajudar os desenvolvedores a criar software mais seguro, identificando riscos de segurança. Ou o fará daqui a dois dias, por o anúncio 3 de agosto de 2023 data de publicação.
Go, disse Aboukhadijeh, “é uma linguagem que teve rápida adoção entre a comunidade de desenvolvedores, especialmente entre clientes Socket. Go é conhecida por sua simplicidade e eficiência, o que a torna uma escolha popular para aplicativos de alto desempenho. No entanto, como qualquer linguagem , não é imune a riscos de segurança, especialmente por causa de sua abordagem de busca de dependência baseada em VCS descentralizada.”
O Socket, que estreou no ano passado, tem um nível gratuito para desenvolvedores individuais, além de níveis pagos de equipe e empresa. Ele se diferencia dos concorrentes observando que, embora existam outros scanners de segurança para avaliar pacotes de código aberto, eles geralmente analisam vulnerabilidades conhecidas. soquete leva o oposto abordagem e começa com a suposição de que todos os pacotes de código aberto podem ser maliciosos.
“Socket analisa o comportamento de um pacote para capturar scripts de instalação, código ofuscado, APIs privilegiadas, como shell, rede, sistema de arquivos e variáveis de ambiente”, a loja de segurança tuitou ano passado.
O surgimento do Socket segue a recente descoberta de ataques à cadeia de suprimentos de software. Isso inclui tentativas de comprometer aplicativos de software por meio de bibliotecas de terceiros ou scripts executados durante o processo de construção e integração.
A proliferação de tais ataques levou a um mandato federal dos EUA fazer com que os programadores documentem suas práticas de desenvolvimento de software por meio de uma lista de materiais de software (SBOM), entre outras iniciativas relacionadas.
Mas espere, há mais
Tomada também introduzido uma extensão de navegador gratuita para à base de cromo navegadores da web, Raposa de fogo, que tem como objetivo exibir dados analíticos de segurança para pacotes de código hospedados com Strong The One NPM. Uma versão do plug-in também está chegando para o navegador Safari da Apple.
“Nosso objetivo é produzir informações que, de outra forma, levariam horas de pesquisa para descobrir e colocá-las na ponta dos dedos no momento crucial em que eles procuram um novo pacote de código aberto para adicionar ao aplicativo”, disse Aboukhadijeh .
Tornou-se bastante comum que criminosos tentem inserir código comprometido no gerenciador de pacotes NPM para JavaScript, para que desenvolvedores desavisados adicionem as bibliotecas subvertidas a seus aplicativos. A extensão do navegador Socket vasculha as páginas da Web dos pacotes NPM para que seja mais fácil ver se há motivo para suspeita.
“O desafio de proteger o software de código aberto é recursivo”, disse Aboukhadijeh. “Não se trata apenas de desenvolvedores de aplicativos escolherem dependências seguras, mas também de essas próprias dependências dependerem de dependências seguras e assim por diante. Essa complexidade ressalta a importância de tornar as informações de segurança amplamente acessíveis.”
Aboukhadijeh disse que a Socket está feliz em fornecer dados de análise de segurança gratuitamente em seu site e apontou para um exemplo de como esses dados podem alertar os desenvolvedores para evitar códigos ruins.
“Por exemplo, aqui está um relatório de pacote de soquete para um pacote carregado de malware que, até a publicação, ainda é hospedado pelo NPM: https://socket.dev/npm/package/bobjoll/overview/6.640.3. Para desenvolvedores que desejam se aprofundar, o Socket fornece um link direto para o arquivo malicioso aqui: https://socket.dev/npm/package/bobjoll/files/6.640.3/scripts/script.js“
Com a extensão do navegador da empresa, esses dados aparecerão nas páginas da Web relevantes do pacote NPM, da seguinte forma:
Captura de tela da página NPM para o pacote bobjoll, com extensão Socket – Clique para ampliar
Outro produto pendente – para clientes que escolherem o nível pago do Socket – fornecerá a capacidade de executar uma pesquisa de dependência em toda a organização, também detalhada em um postagem de blog pós-datada. Esse recurso permite que as organizações pesquisem dependências específicas em todos os seus repositórios de software para ter uma ideia melhor do que está na rede.
“A Casa Branca diretiva sobre SBOMs enfatizou sua importância na transparência do software”, disseram os lançadores de software Socket Bradley Meck Farias, Mikola Lysenko e Segun Adebayo no post. “Infelizmente, poucas empresas coletam SBOMs, muito menos os utilizam produtivamente. A pesquisa de dependência do Socket não é apenas coletar esses SBOMs, mas também fornecer [useful insights].”
Essa última frase incluía as palavras “acionável” e “operacionalizante”, e é por isso que parafraseamos a passagem.
“Acreditamos que todos os desenvolvedores devem ter essas informações cruciais na ponta dos dedos ao decidir quais dependências usar, independentemente de sua empresa ser um cliente Socket”, disse Aboukhadijeh. “Esta abordagem não é apenas sobre fazer a coisa certa; é também a nossa maneira de retribuir à comunidade de código aberto da qual fazemos parte.” ®
.
