CVE Lite CLI aitab tuvastada aegunud sõltuvuste turvanõrkusi

JavaScripti arendusökosüsteem on pikka aega kannatanud turvaprobleemide all, kuid avatud lähtekoodiga tööriist CVE Lite CLI aitab tarkvara tarneahela ründeid ennetada. See OWASP-i poolt heakskiidetud sõltuvuste skanner töötab lokaalselt ning pakub konkreetseid lahendusi turvanõrkuste kõrvaldamiseks. Hiljuti lisati tööriistale ka ülekirjutuste (overrides) auditeerimise funktsioon, mis aitab vältida selliseid juhtumeid nagu 2022. aasta märtsi node-ipc pakett.

Viimaste kuude Shai-huludi tarneahela ründed näitavad, kuidas ründajad sihivad järjest enam arendajate ökosüsteemi — CI/CD-süsteeme, pakihoidlaid ja arendustööriistu. Tänapäeva JavaScripti rakendused tuginevad pakettidele, mis omakorda sõltuvad teistest pakettidest (nn transitiivsed sõltuvused). Kui sügavamal asuva paketi haldajad on turvapaiga avaldanud, kuid vahepealse paketi haldajad ei ole uuendust kasutusele võtnud, jäävad rakendused haavatavaks.

Lahendusena saavad arendajad kasutada ülekirjutusi (npm overrides, pnpm overrides või Yarn resolutions), mis sunnivad konkreetset versiooni. CVE Lite CLI looja Sonu Kapoor selgitas, et probleem tekib hiljem — ülekirjutused jäävad sageli unustusse. Skannides nelja populaarset projekti, leidis ta, et kolmel oli katkiseid ülekirjutusi, näiteks Cal.com-il oli 90 kirjest 11 vaikselt mittetoimivat.

Loe täispikka artiklit: The Register

Lisa kommentaar