OpenSSF (Open Source Security Foundation) ашық бастапқы бағдарламалық жасақтаманың қауіпсіздігін жақсарту үшін Linux Foundation қамқорлығымен құрылған, қоғамдастықты өзінің стилінде еске түсіретін танымал ашық бастапқы жобаларды бақылауға алу әрекеттерімен байланысты әрекетті анықтау туралы ескертті. xz жобасында бэкдорды орнатуға дайындық процесінде шабуылдаушылардың әрекеттерінің. xz шабуылына ұқсас, бұрын дамуға терең араласпаған күмәнді адамдар өз мақсаттарына жету үшін әлеуметтік инженерия әдістерін қолдануға тырысты.
Шабуыл жасаушылар Node.js, jQuery, Appium, Dojo, PEP, Mocha және webpack сияқты ашық JavaScript жобаларын бірлесіп әзірлеу үшін бейтарап платформа ретінде әрекет ететін OpenJS Foundation басқарушы кеңесінің мүшелерімен хат алысты. Күмәнді ашық бастапқы коды бар даму тарихы бар бірнеше үшінші тарап әзірлеушілері кіретін хат алмасу OpenJS ұйымы басқаратын танымал JavaScript жобаларының бірін жаңарту қажеттілігіне басшылықты сендіруге тырысты.
Жаңартудың себебі «кез келген маңызды осалдықтардан қорғауды» қосу қажеттілігі деп айтылды. Дегенмен, осалдықтардың мәні туралы толық ақпарат берілмеді. Өзгерістерді жүзеге асыру үшін күдікті әзірлеуші оны әзірлеуге бұрын аз ғана бөлігін алған жобаны қолдаушылардың қатарына қосуды ұсынды. Сонымен қатар, олардың кодын енгізудің ұқсас күдікті сценарийлері OpenJS ұйымымен байланысы жоқ тағы екі танымал JavaScript жобасында анықталды. Жағдайлар оқшауланбайды және ашық бастапқы жобаларды қолдаушылар кодты қабылдау және жаңа әзірлеушілерді бекіту кезінде қырағы болуы керек деп болжанады.
Зиянды әрекетті көрсетуі мүмкін белгілерге ізгі ниетті, бірақ сонымен бірге агрессивті және табанды, аз танымал қауымдастық мүшелерінің техникалық қызмет көрсетушілерге немесе жоба менеджерлеріне өздерінің кодтарын жылжыту немесе қолдаушы мәртебесін беру идеясымен жақындау әрекеттері жатады. Дамытуға бұрын қатыспаған немесе қауымдастыққа жақында қосылған жалған адамдардан құрылған, алға тартылып жатқан идеялардың айналасында қолдау тобының пайда болуына да назар аудару керек.
Өзгерістерді қабылдаған кезде екілік деректерді біріктіру сұрауларына қосу әрекетін ықтимал зиянды әрекеттің белгілері ретінде қарастыру керек (мысалы, xz тілінде, орауды тексеру үшін архивтерде бэкдор жіберілді) немесе шатастыратын немесе түсіну қиын код. Қауіпсіздікке нұқсан келтіретін кішігірім өзгерістерді сынақтан өткізу әрекеттері қауымдастықтың жауабын өлшеуге және өзгерістерді қадағалайтын адамдар бар-жоғын білуге (мысалы, xz Safe_fprintf функциясын fprintf функциясына ауыстырды) қарау керек. Сондай-ақ жобаны құрастыру, құрастыру және орналастыру әдістеріндегі типтік емес өзгерістер, үшінші тарап артефактілерін пайдалану және өзгерістерді тез арада қабылдау қажеттілігі сезімін күшейту күдік туғызуы керек.
Ақпарат көзі: opennet.ru