Det ska vara tryggt nu att koda

Det ska vara tryggt nu att koda

Publicerat av: Redaktionen

Tillgängligheten till öppen källkod, applikationer och bibliotek utgör onekligen en central del av dagens blomstrande utvecklarekosystem – och är anledningen till att utvecklingen nu går så snabbt.

Utvecklare behöver inte längre skapa ny kod för att leverera nya funktioner och applikationer, utan kan utgå från den kod som andra redan har skapat.

Enligt Gartner innehåller 96 procent av dagens applikationer öppen källkod – och 80 procent av applikationernas kod är idag öppen. Detta faktum skapar oerhörda möjligheter – men innebär också vissa risker. Antalet cyberattacker mot populära källkodspaket har ökat avsevärt under de senaste åren. Det är nu vanligt att kriminella kodar in skadlig källkod i befintliga paket, för att sedan sprida det nya paketet som en uppdaterad version.

Denna typ av kriminalitet har visat sig vara mycket effektivt, eftersom många paket med öppen källkod uppdateras dagligen, för att sedan laddas upp på platser som NPM, RubyGems och PyPi, utan att genomgå några omfattande säkerhetsundersökningar. Dessa program laddas sedan ofta ner av miljontals utvecklare, som inte heller genomför några säkerhetsanalyser innan de påbörjar arbetet med paketen.

Event-stream-händelsen 2018 visade tydligt hur sårbart programmerandet kan vara. En cyberkriminell utgav sig då för att vara en engagerad och kompetent medskapare av det populära paketet event-stream, och skaffade sig på det sättet redigeringsmöjligheter. Till en början kodade angriparen in ofarlig kod i paketet, men så småningom om inkluderades även skadlig kod. Det skadliga paketet laddades ner av miljontals utvecklare – och det tog en månad innan någon märkte av den skadliga koden.

Den gången var attacken riktad mot en specifik bitcoin-applikation, men den hade kunnat vara mycket mer omfattande. Attacken borde betraktas som en väckarklocka för hela utvecklarbranschen, men problemen har fortsatt sedan dess med allt fler liknande attacker – och gjort kodandet ännu mer riskfyllt. Det är därför dags för oss kodare att tillsammans se till att öka säkerheten för öppen källkod, genom att öka vår försiktighet. Och vi gör det bäst genom att fråga oss följande fyra frågor innan vi börjar arbeta med ett paket:

  • Vem mer använder det här paketet?

Det ska vara tryggt nu att kodaEn bra början är att se hur många andra som använder ett paket. Ju populärare, desto större chans att andra användare har undersökt paketets säkerhetsstatus.

  • Ses paketet efter?

Vissa paket är populära – men ses inte efter. Ofta har de ursprungliga utvecklarna av paketet beslutat att de är färdiga med sitt arbete, och då släppt kontrollen över det. Man bör undvika att använda sådana paket – för om någonting händer, vem finns då där för att hjälpa till?

  • Är det säkert att använda?

Undersök databaser och forum för att se vilken version av paketet som är det säkraste – för det är inte alltid den senaste versionen som är det. Ta reda på under vilka alla namn och licenstyper som paketet har släppts, och stäm av så att paketets egenskaper stämmer överens med din organisations regelverk.

  • Hur starkt är paketets community?

De flesta källkodprojekt hanteras av en liten grupp personer, som skriver och hanterar koden. Men projektets community spelar också en viktig roll i att utveckla projektet och rapportera eventuella svagheter. Ett paket med ett stort och starkt community utgör därför en viss säkerhetsgaranti. Därför är det viktigt att undersöka hur starkt paketets community är, innan man börjar använda det.

Visst innebär detta lite initialt extraarbete, med det finns bra webbaserade databaser på vilka man enkelt kan hitta den information man behöver. Vid sidan om detta utgör lösningar som Snyk Advisor en handfast hjälp, som ger programmerare förutsättningar de behöver för att skapa nya fantastiska applikationer. Tro mig, det är värt att vidta dessa åtgärder.

Av Daniel Berman, Product Marketing Director, Snyk

 

Relaterade Artiklar

Vi använder cookies och andra identifierare för att förbättra din upplevelse. Detta gör att vi kan säkerställa din åtkomst, analysera ditt besök på vår webbplats. Det hjälper oss att erbjuda dig ett personligt anpassat innehåll och smidig åtkomst till användbar information. Klicka på ”Jag godkänner” för att acceptera vår användning av cookies och andra identifierare eller klicka ”Mer information” för att justera dina val. Jag Godkänner Mer Information >>

-
00:00
00:00
Update Required Flash plugin
-
00:00
00:00