Socket va au-delà de JavaScript et Python et entre dans Go • The Register

Jul 31, 2023

Interview Entreprise de sécurité open source, Socket étend son vérificateur de dépendances de code source, qui ne s'adressait auparavant qu'à JavaScript et Python, en ajoutant la prise en charge de la vérification du code Go.

En annonçant une levée de fonds de série A de 20 millions de dollars, l'atelier de sécurité a connu une semaine chargée avec trois ajouts à la boîte à outils de son code :

"Les logiciels open source ont révolutionné la façon dont nous développons des applications, mais ils ont également apporté leur propre série de défis", a déclaré son PDG Feross Aboukhadijeh, à The Register. "L'une des plus importantes consiste à assurer la sécurité du vaste réseau de dépendances sur lequel s'appuient les applications modernes."

"Les applications utilisent tellement de dépendances que c'est ahurissant. Un exemple illustratif est le client de bureau Discord qui utilise plus de 19 000 dépendances créées par plus de 380 000 contributeurs de plus de 200 pays."

En s'étendant à Go Aboukhadijeh, Socket tente d'aider les développeurs à créer des logiciels plus sûrs en identifiant les risques de sécurité. Ou bien il le fera dans deux jours, selon la date de publication de l’annonce du 3 août 2023.

Go, a déclaré Aboukhadijeh, « est un langage qui a été rapidement adopté par la communauté des développeurs, en particulier par les clients Socket. Go est connu pour sa simplicité et son efficacité, ce qui en fait un choix populaire pour les applications hautes performances. Cependant, comme tout langage , il n'est pas à l'abri des risques de sécurité, notamment en raison de son approche décentralisée de récupération des dépendances basée sur VCS.

Socket, qui a fait ses débuts l'année dernière, propose un niveau gratuit pour les développeurs individuels, ainsi que des niveaux payants pour les équipes et les entreprises. Il se différencie de ses concurrents en notant que même si d'autres scanners de sécurité existent pour évaluer les packages open source, ceux-ci examinent généralement les vulnérabilités connues. Socket adopte l'approche opposée et part de l'hypothèse que tous les packages open source peuvent être malveillants.

"Socket analyse le comportement d'un package pour détecter les scripts d'installation, le code obscurci, les API privilégiées telles que le shell, le réseau, le système de fichiers et les variables d'environnement", a tweeté le magasin de sécurité l'année dernière.

L'émergence de Socket fait suite à la découverte récente d'attaques importantes contre la chaîne d'approvisionnement logicielle. Il s'agit notamment des tentatives de compromettre les applications logicielles via des bibliothèques ou des scripts tiers exécutés pendant le processus de création et d'intégration.

La prolifération de telles attaques a conduit à un mandat fédéral américain obligeant les programmeurs à documenter leurs pratiques de développement de logiciels au moyen d'une nomenclature logicielle (SBOM), entre autres initiatives connexes.

Socket a également introduit une extension de navigateur gratuite pour les navigateurs Web basés sur Chromium, Firefox, qui vise à faire apparaître des données d'analyse de sécurité pour les packages de code hébergés avec le registre NPM. Une version du plugin est également disponible pour le navigateur Safari d'Apple.

"Notre objectif est de produire des informations qu'il faudrait autrement aux développeurs des heures de recherche pour les découvrir et de les mettre à portée de main des développeurs au moment crucial où ils recherchent un nouveau package open source à ajouter à l'application", a déclaré Aboukhadijeh. .

Il est devenu assez courant que des malfaiteurs tentent d'introduire du code compromis dans le gestionnaire de packages NPM pour JavaScript afin que des développeurs sans méfiance ajoutent les bibliothèques détournées à leurs applications. L'extension de navigateur Socket parcourt les pages Web des packages NPM afin qu'il soit plus facile de voir s'il y a des raisons de soupçonner.

"Le défi de la sécurisation des logiciels open source est récursif", a déclaré Aboukhadijeh. "Il ne s'agit pas seulement pour les développeurs d'applications de choisir des dépendances sécurisées, mais aussi de ces dépendances elles-mêmes qui s'appuient sur des dépendances sécurisées, etc. Cette complexité souligne l'importance de rendre les informations de sécurité largement accessibles."

Aboukhadijeh a déclaré que Socket était heureux de fournir gratuitement des données d'analyse de sécurité sur son site Web et a cité un exemple de la façon dont ces données peuvent avertir les développeurs des mauvais codes.

"Par exemple, voici un rapport sur les packages Socket pour un package chargé de logiciels malveillants qui, au moment de sa publication, est toujours hébergé par NPM : https://socket.dev/npm/package/bobjoll/overview/6.640.3. Pour les développeurs qui souhaitent En creusant plus profondément, Socket fournit utilement un lien profond vers le fichier malveillant ici : https://socket.dev/npm/package/bobjoll/files/6.640.3/scripts/script.js"