Es cierto que asegurar la cadena de suministro de software es un tema algo seco, pero saber qué componentes y códigos se encuentran en sus dispositivos y dispositivos cotidianos es una parte fundamental del proceso de desarrollo de software en el que confían miles de millones de personas todos los días.
El software es como cualquier otro producto que construye y envía; se basa en el uso de componentes que otros han construido, a menudo en forma de código fuente, y se asegura de que no se rompa o tenga debilidades que comprometan el producto final. La mayor parte del software del mundo se basa en un código fuente abierto escrito por desarrolladores que publican su trabajo para que cualquiera lo use. Eso también significa confiar en que los desarrolladores siempre actuarán de buena fe. Pero los proyectos son abandonados y retomados por otros que plantan puertas traseras o malware, o, como se vio recientemente desde la invasión rusa de Ucrania, un aumento en el “protestware”, en el que los desarrolladores de software de código abierto alterar su código para borrar el contenido de las computadoras rusas en protesta por la incursión del Kremlin.
Feross Aboukhadijeh, un prolífico mantenedor de código abierto y fundador de Enchufedijo a TechCrunch en una llamada reciente que los equipos de desarrollo a menudo confían demasiado en el código fuente abierto, lo que puede ser catastrófico si se introduce una vulnerabilidad deliberada en la cadena de suministro y pasa desapercibida.
El software generalmente es más fácil de reparar que los automóviles autónomos y otro hardware que debe retirarse. Pero las consecuencias de un compromiso de software pueden ser nefastas y generalizadas. Las actualizaciones de software contaminadas han llevado al compromiso masivo de las redes del gobierno federal de los EE. UU., ataques de ransomware y la selección de administradores de contraseñas empresariales con el fin de robar secretos corporativos confidenciales.
Abukhadijeh fundado Socket a principios de este año junto con un equipo de mantenedores de código abierto que han visto de primera mano algunos de los peores ataques de la cadena de suministro de software en la naturaleza. Entonces, el equipo comenzó a trabajar en la creación de una aplicación que los desarrolladores pueden usar para detectar y bloquear la introducción de código potencialmente malicioso en sus proyectos desde millones de repositorios de código fuente abierto.
La aplicación se conecta a la cuenta de un desarrollador de GitHub y se ejecuta a través de docenas de comportamientos conocidos, en busca de problemas del paquete, como cambios potencialmente sospechosos en el código, como si un paquete de código abierto del que depende de repente comienza a intentar comunicarse a través de la red o se vuelve shell. acceso, lo que podría indicar que el paquete se ha visto comprometido.
Aboukhadijeh describió a Socket como ofreciendo una etiqueta de información nutricional de las capacidades de un paquete de código abierto al iluminar qué acceso, permisos y comportamientos tiene un paquete, como scripts de instalación, que muchos tipos de malware usan para conectarse al sistema de una víctima.
“No podemos decirle con certeza si un paquete se comunica con la red es una mala señal o no, porque si es un servidor web, ¡entonces obviamente tendrá que hacer eso!” dijo Abukhadijeh. Pero tener esa visibilidad integrada en el proceso de creación de software es lo que los desarrolladores necesitan para evitar un ataque a la cadena de suministro. “Esto no es algo complicado de inteligencia artificial o aprendizaje automático”, dijo, hablando de su propio producto. “No hay forma de ocultar que un paquete ejecuta un script de instalación, se declara como parte del paquete. Entonces, ¿por qué no llamar la atención de un desarrollador sobre eso?
Socket aún está en sus inicios y entra en un mercado abarrotado, pero ya está atrayendo inversiones. La puesta en marcha en etapa inicial ha recaudado $ 4.6 millones en fondos de ronda inicial de más de una docena de inversores ángeles y líderes de seguridad, incluido el ex director ejecutivo de GitHub, Nat Friedman, el cofundador de Keybase, Max Krohn, así como Unusual Ventures, Village Global y South Park Commons. .
Aboukhadijeh le dijo a TechCrunch que la financiación ayudará a hacer crecer los equipos de ingeniería, análisis de seguridad e investigación de la startup para desarrollar sus herramientas para los desarrolladores.
Lee mas: