Socket va oltre JavaScript e Python ed entra in Go • The Register

Jul 31, 2023

Intervista Azienda di sicurezza open source Socket sta estendendo il suo controllo delle dipendenze del codice sorgente, che in precedenza si rivolgeva solo a JavaScript e Python, aggiungendo il supporto per il controllo del codice Go.

Dopo aver annunciato un round di finanziamento di serie A da 20 milioni di dollari, il negozio di sicurezza ha avuto una settimana intensa con tre aggiunte al toolkit del suo codice:

"Il software open source ha rivoluzionato il modo in cui sviluppiamo le applicazioni, ma ha anche comportato una serie di sfide", ha affermato il suo CEO Feross Aboukhadijeh, al The Register. "Uno dei più grandi è garantire la sicurezza della vasta rete di dipendenze su cui fanno affidamento le applicazioni moderne."

"Le applicazioni utilizzano così tante dipendenze da lasciare la mente sconcertata. Un esempio illustrativo è il client desktop Discord che utilizza più di 19.000 dipendenze create da più di 380.000 contributori provenienti da più di 200 paesi."

Estendendosi a Go Aboukhadijeh ha affermato che Socket sta cercando di aiutare gli sviluppatori a creare software più sicuro identificando i rischi per la sicurezza. Oppure lo farà tra due giorni, secondo la data di pubblicazione dell’annuncio del 3 agosto 2023.

Go, ha affermato Aboukhadijeh, "è un linguaggio che ha visto una rapida adozione tra la comunità degli sviluppatori, soprattutto tra i clienti Socket. Go è noto per la sua semplicità ed efficienza, che lo rendono una scelta popolare per applicazioni ad alte prestazioni. Tuttavia, come ogni linguaggio , non è immune ai rischi per la sicurezza, soprattutto a causa del suo approccio decentralizzato al recupero delle dipendenze basato su VCS."

Socket, che ha debuttato lo scorso anno, ha un livello gratuito per i singoli sviluppatori, oltre a livelli a pagamento per team e aziende. Si differenzia dai concorrenti sottolineando che, sebbene esistano altri scanner di sicurezza per valutare i pacchetti open source, questi generalmente esaminano le vulnerabilità note. Socket adotta l'approccio opposto e parte dal presupposto che tutti i pacchetti open source possano essere dannosi.

"Socket analizza il comportamento di un pacchetto per individuare script di installazione, codice offuscato, API privilegiate come shell, rete, filesystem e variabili di ambiente", ha twittato l'anno scorso il negozio di sicurezza.

L'emergere di Socket fa seguito alla recente scoperta di attacchi significativi alla catena di fornitura del software. Questi includono tentativi di compromettere le applicazioni software tramite librerie o script di terze parti eseguiti durante il processo di creazione e integrazione.

La proliferazione di tali attacchi ha portato a un mandato federale degli Stati Uniti che impone ai programmatori di documentare le loro pratiche di sviluppo software attraverso una distinta base dei materiali (Software Bill of Materials, SBOM), tra le altre iniziative correlate.

Socket ha anche introdotto un'estensione browser gratuita per i browser Web basati su Chromium, Firefox, che mira a far emergere dati di analisi della sicurezza per i pacchetti di codice ospitati con il registro NPM. È in arrivo una versione del plugin anche per il browser Safari di Apple.

"Il nostro obiettivo è produrre informazioni che altrimenti richiederebbero agli sviluppatori ore di ricerca per scoprire e metterle a portata di mano degli sviluppatori nel momento cruciale in cui sono alla ricerca di un nuovo pacchetto open source da aggiungere all'applicazione", ha affermato Aboukhadijeh .

È diventato abbastanza comune che i malintenzionati cerchino di introdurre codice compromesso nel gestore di pacchetti NPM per JavaScript in modo che gli ignari sviluppatori aggiungano le librerie sovvertite alle loro app. L'estensione del browser Socket esamina le pagine Web dei pacchetti NPM in modo che sia più semplice verificare se vi sono motivi di sospetto.

"La sfida di proteggere il software open source è ricorsiva", ha affermato Aboukhadijeh. "Non si tratta solo degli sviluppatori di app che scelgono dipendenze sicure, ma riguarda anche le dipendenze stesse che si affidano a dipendenze sicure e così via. Questa complessità sottolinea l'importanza di rendere le informazioni sulla sicurezza ampiamente accessibili."

Aboukhadijeh ha affermato che Socket è lieta di fornire gratuitamente dati di analisi della sicurezza sul suo sito Web e ha indicato un esempio di come tali dati possano mettere in guardia gli sviluppatori dalla presenza di codice dannoso.

"Ad esempio, ecco un report sul pacchetto socket per un pacchetto carico di malware che al momento della pubblicazione è ancora ospitato da NPM: https://socket.dev/npm/package/bobjoll/overview/6.640.3. Per gli sviluppatori che desiderano scavando più a fondo, Socket fornisce utilmente un collegamento diretto al file dannoso qui: https://socket.dev/npm/package/bobjoll/files/6.640.3/scripts/script.js"