Ochiq kodli dasturiy ta'minot xavfsizligini yaxshilash uchun Linux fondi homiyligida yaratilgan OpenSSF (Ochiq kodli xavfsizlik jamg'armasi) jamiyatni o'z uslubini eslatuvchi mashhur ochiq kodli loyihalar ustidan nazoratni qo'lga kiritishga urinishlar bilan bog'liq faoliyatni aniqlash haqida ogohlantirdi. xz loyihasida orqa eshikni o'rnatishga tayyorgarlik ko'rish jarayonida hujumchilarning harakatlari. Xz ga qilingan hujumga o'xshab, ilgari rivojlanishda chuqur ishtirok etmagan shubhali shaxslar o'z maqsadlariga erishish uchun ijtimoiy muhandislik usullaridan foydalanishga harakat qilishdi.
Hujumchilar Node.js, jQuery, Appium, Dojo, PEP, Mocha va webpack kabi ochiq JavaScript loyihalarini birgalikda ishlab chiqish uchun neytral platforma vazifasini bajaradigan OpenJS Foundation boshqaruv kengashi aΚΌzolari bilan yozishmalarga kirishgan. Shubhali ochiq manbali rivojlanish tarixiga ega bo'lgan bir nechta uchinchi tomon dasturchilarni o'z ichiga olgan yozishmalar OpenJS tashkiloti tomonidan tuzilgan mashhur JavaScript loyihalaridan birini yangilash zarurligiga rahbariyatni ishontirishga harakat qildi.
Yangilanish sababi "har qanday muhim zaifliklardan himoya" ni qo'shish zarurati ekanligi aytildi. Biroq zaifliklarning mohiyati haqida hech qanday ma'lumot berilmagan. O'zgarishlarni amalga oshirish uchun shubhali ishlab chiquvchi uni loyihani qo'llab-quvvatlovchilar qatoriga qo'shishni taklif qildi, u ilgari ishlab chiqishda faqat kichik bir qismni egallagan. Bundan tashqari, OpenJS tashkiloti bilan bog'liq bo'lmagan yana ikkita mashhur JavaScript loyihalarida o'z kodlarini o'rnatish uchun shunga o'xshash shubhali stsenariylar aniqlangan. Taxminlarga ko'ra, holatlar alohida emas va ochiq kodli loyihalarni qo'llab-quvvatlovchilar kodni qabul qilish va yangi ishlab chiquvchilarni tasdiqlashda hushyor bo'lishlari kerak.
Yomon niyatli faoliyatni ko'rsatishi mumkin bo'lgan belgilar orasida yaxshi niyatli, ammo ayni paytda tajovuzkor va qat'iyatli, kam ma'lum bo'lgan hamjamiyat a'zolarining texnik xizmat ko'rsatuvchilar yoki loyiha menejerlariga o'z kodlarini targ'ib qilish yoki ta'minotchi maqomini berish g'oyasi bilan murojaat qilish harakatlari kiradi. Ilgari ishlab chiqishda ishtirok etmagan yoki yaqinda jamiyatga qo'shilgan xayoliy shaxslardan tuzilgan, ilgari surilayotgan g'oyalar atrofida qo'llab-quvvatlovchi guruh paydo bo'lishiga ham e'tibor qaratish lozim.
O'zgarishlarni qabul qilganda, ikkilik ma'lumotlarni birlashma so'rovlariga (masalan, xz-da, arxivni ochishni sinash uchun arxivga taqdim etilgan) yoki chalkash yoki tushunish qiyin bo'lgan kodni kiritishga bo'lgan urinishlarni potentsial zararli faoliyat belgilari sifatida ko'rib chiqishingiz kerak. Hamjamiyat javobini oΚ»lchash va oΚ»zgarishlarni kuzatayotgan odamlar bor-yoΚ»qligini aniqlash uchun xavfsizlikni buzuvchi kichik oΚ»zgarishlarni sinovdan oΚ»tkazishga urinishlarni koΚ»rib chiqish kerak (masalan, xz Safe_fprintf funksiyasini fprintf bilan almashtirdi). Loyihani tuzish, yig'ish va joylashtirish usullaridagi atipik o'zgarishlar, uchinchi tomon artefaktlaridan foydalanish va o'zgarishlarni zudlik bilan qabul qilish zarurati hissining kuchayishi shubhalarni uyg'otadi.
Manba: opennet.ru