Het bedrijf Apiiro, gespecialiseerd in applicatiebeveiliging, brengt twee open-source tools uit om organisaties te helpen zich te verdedigen tegen kwaadaardige code in hun applicaties.
Deze actie volgt op beveiligingsonderzoek van Apiiro zelf, meldt SD Times. Hieruit blijkt dat er duizenden gevallen van kwaadaardige code aanwezig zijn in repositories en pakketten.
Volgens het bedrijf lag de focus van het onderzoek op diepgaande codeanalyse. En op het identificeren van patronen in kwaadaardige code om verdedigingsstrategieën te ontwikkelen. Kwaadaardige code is volgens het bedrijf een van de meest toegankelijke en eenvoudig uit te voeren aanvalsvectoren. Apiiro voegt eraan toe dat de beveiliging van dependency managers en platforms voor broncodehosting nog steeds in ontwikkeling is.
Die beveiliging vertoont volgens Apiiro grote lacunes, zoals bij verificatie van menselijke en digitale identiteiten, validatie van broncode en releases, en meer. Ook herkent Apiiro veel beveiligingsproblemen in buildsystemen, artifactmanagers en pipeline-tools.
Verduisterde en naïeve code
Uit het onderzoek blijkt dat aanvallers kwaadaardige code meestal introduceren via anti-patronen. Hierbij speelt verduisterde (obfuscated) code een belangrijke rol. Een tweede anti-patroon is naïeve code-uitvoering, waarbij code als gegevens wordt ontvangen en direct wordt uitgevoerd zonder vooraf gescand te worden.
De nieuwe open-source tools detecteren in de meeste gevallen de introductie van kwaadaardige code. De eerste tool is PRevent. Dit is een open-source applicatie die pull requests scant, verdachte code detecteert en meldingen verstuurt. PRevent biedt eenvoudige integratie, een hoge mate van configureerbaarheid en essentiële orkestratiefuncties.
De tweede tool is een set detectieregels voor kwaadaardige code, bedoeld om te draaien op Semgrep. Deze regels zijn nu beschikbaar via Opengrep, een fork van Semgrep.
Codebeoordeling
Apiiro adviseert dat de beste manier om kwaadaardige code uit de codebase te weren, het gebruik van een pre-merge hook is. Dit is een proces dat wordt geactiveerd bij pull request-evenementen via webhooks en dat beheerd wordt door strikt geautoriseerde entiteiten. PRevent kan codebeoordelingen starten, of zelfs merges blokkeren totdat een scan is goedgekeurd of een reviewer toestemming geeft.