Alors que les projets logiciels continuent de croître, les développeurs ont tendance à utiliser de plus en plus de bibliothèques tierces. Cela fait de l'expédition de nouvelles fonctionnalités un processus plus rapide et plus efficace. Cependant, lorsque votre programme dépend de bibliothèques créées par quelqu'un d'autre, il y a de fortes chances que quelque chose d'inattendu se produise.

Il y a eu un nombre croissant d'attaques de chaîne d'approvisionnement logicielle utilisant des modules contenant du code malveillant. GitLab a mis au point un nouvel outil appelé Package Hunter pour empêcher ces attaques.

Comment fonctionne Package Hunter ?

Package Hunter est un outil robuste pour surveiller les dépendances dans les modules logiciels et alerte les programmeurs sur les comportements indésirables. C'est un projet open source développé par l'équipe de sécurité de GitLab. Au moment de la rédaction, Package Hunter travaille avec Modules NodeJS et Ruby Gems.

Il analyse les dépendances de votre programme pour rechercher le code malveillant. Pour ce faire, Package Hunter installera les modules requis dans un environnement sandbox et

instagram viewer
surveiller les appels système. Si l'un de ces appels système semble suspect ou inhabituel, Package Hunter alertera immédiatement le développeur.

Sous le capot, Package Hunter utilise Falco, un projet de sécurité natif du cloud capable de détecter les menaces lors de l'exécution. Cela réduit le temps dont les programmeurs ont besoin pour réviser le code manuellement.

Comment utiliser Package Hunter dans vos projets

Package Hunter s'intègre sans effort aux outils GitLab existants. Pour l'utiliser pour votre projet, commencez par installer le logiciel sur votre ordinateur local. Suivez ces instructions pour installer Package Hunter.

Notez que ce package nécessite Falco 0.23.0, Docker 20.10 (ou version ultérieure) et Node 12.21 (ou version ultérieure). Vous pouvez commencer à utiliser Package Hunter dans les pipelines CI une fois l'installation terminée. Suivez ces instructions pour utiliser Package Hunter dans les pipelines CI.

Protégez votre logiciel à l'aide de Package Hunter

Package Hunter de GitLab est un outil efficace pour les développeurs qui recherchent constamment du code malveillant dans leurs projets. Alors que les attaques de la chaîne d'approvisionnement deviennent de plus en plus courantes, nous devons nous adapter rapidement pour protéger nos logiciels. Avoir une idée claire de ces attaques est crucial pour protéger votre prochain grand projet.

PartagerTweeterE-mail
Qu'est-ce qu'un piratage de la chaîne d'approvisionnement et comment pouvez-vous rester en sécurité ?

Vous ne pouvez pas franchir la porte d'entrée? Attaquez plutôt le réseau de la chaîne d'approvisionnement. Voici comment fonctionnent ces hacks.

Lire la suite

Rubriques connexes
  • Sécurité
  • Open source
  • Sécurité en ligne
  • Porte arrière
A propos de l'auteur
Rubaïat Hossain (39 articles publiés)

Rubaiat est diplômé en informatique et passionné par l'open source. En plus d'être un vétéran d'Unix, il s'intéresse également à la sécurité des réseaux, à la cryptographie et à la programmation fonctionnelle. Il est un collectionneur passionné de livres d'occasion et a une admiration sans fin pour le rock classique.

Plus de Rubaiat Hossain

Abonnez-vous à notre newsletter

Rejoignez notre newsletter pour des conseils techniques, des critiques, des ebooks gratuits et des offres exclusives !

Cliquez ici pour vous abonner