қамқорлығымен құрылған OpenSSF (Ашық бастапқы кодты қауіпсіздік қоры) ұйымы Linux Ашық бастапқы кодты бағдарламалық жасақтама қауіпсіздігі қоры қоғамдастықты танымал ашық бастапқы кодты жобаларды бақылауға алуға тырысумен байланысты әрекеттердің анықталғаны туралы ескертті. Бұл әрекет шабуылдаушылардың xz жобасына артқы есік орнату әрекеттеріне ұқсайды. xz-ге жасалған шабуылға ұқсас, бұрын жобаны әзірлеуге терең қатыспаған жағымсыз адамдар өз мақсаттарына жету үшін әлеуметтік инженерия әдістерін қолдануға тырысты.
Шабуылдаушылар OpenJS қорының басқарушы кеңесінің мүшелерімен хат алмасты, бұл Node.js, jQuery, Appium, Dojo, PEP, Mocha және webpack сияқты ашық бастапқы кодты JavaScript жобаларын бірлесіп әзірлеу үшін бейтарап форум ретінде қызмет етеді. Ашық бастапқы кодты әзірлеу тарихы күмәнді бірнеше үшінші тарап әзірлеушілерін қамтитын хат алмасу кеңесті OpenJS кураторлығымен жасалған танымал JavaScript жобаларының бірін жаңартуға көндіруге тырысты.
Жаңартудың себебі «кез келген маңызды осалдықтардан қорғауды» қосу қажеттілігі деп айтылды. Осалдықтардың сипаты туралы ешқандай мәліметтер берілмеді. Өзгерістерді енгізу үшін күдікті әзірлеуші бұрын аз ғана қатысқан жобаның қолдаушысы ретінде қосылуды ұсынды. Сонымен қатар, OpenJS ұйымымен байланысы жоқ тағы екі танымал JavaScript жобасында кодты мәжбүрлеудің ұқсас күдікті сценарийлері анықталды. Бұл жағдайлар жалғыз емес деп есептеледі және ашық бастапқы код жобаларының қолдаушылары кодты қабылдаған және жаңа әзірлеушілерді мақұлдаған кезде сақ болуы керек.
Зиянды әрекетті көрсететін белгілерге аз танымал қоғамдастық мүшелерінің жобаны қолдаушыларға немесе көшбасшыларға кодын насихаттауды немесе қолдаушы мәртебесін сұрау арқылы ізгі ниетпен, бірақ агрессивті және тұрақты түрде өтініш жасауы жатады. Сондай-ақ, бұрын әзірлеуге үлес қоспаған немесе жақында қоғамдастыққа қосылған ойдан шығарылған адамдардан құрылған насихатталған идеялардың айналасында қолдау тобының пайда болуына назар аудару керек.
Өзгерістерді қабылдаған кезде, pull requests (мысалы, xz-де, unpacker-ді тексеру үшін мұрағаттарда бэкдор жіберілді) немесе түсініксіз немесе түсіну қиын кодты қосу әрекеттері зиянды әрекеттің белгілері ретінде қарастырылуы керек. Сондай-ақ, қауымдастықтың реакциясын өлшеу және өзгеріс мониторларының бар-жоғын тексеру үшін жіберілген қауіпсіздікті аздап төмендететін өзгерістерді енгізуге бағытталған алдын ала әрекеттерді де атап өту керек (мысалы, xz-де Safe_fprintf функциясы fprintf-пен ауыстырылды). Жобаны құрастыру, құру және орналастыру әдістеріне тән емес өзгерістер, үшінші тарап артефактілерін пайдалану және өзгерістерді қабылдау үшін шұғылдық сезімін тудыру да күдік тудыруы керек.
Ақпарат көзі: opennet.ru
