Malware-Erkennung in Open-Source-Beiträgen

Mit Nexus Intelligence liefert Sonatype in Echtzeit wichtige Informationen Sicherheitslücken in Open-Source-Komponenten. Eine neue Frühwarnfunktion in der Software-Komponenten-Verwaltung soll gefälschte, bösartige Codefragmente nun noch schneller identifizieren und blockieren.

Die zum Patent angemeldete Technologie wird in die kommende Generation der Sonatype Nexus Intelligence integriert. Das Frühwarnsystem überwacht Millionen Open-Source-Projekte in Echtzeit, um unnormales Entwicklungsverhalten und verdächtige Muster zu identifizieren, wenn neue Komponentenversionen veröffentlicht werden.

Damit reagiert Sonatype auf den Trend, dass vermehrt bösartige Komponenten in öffentlichen Open-Source- und Container-Repositorys veröffentlicht werden. Die Angriffe reichten von Cryptomining über den Diebstahl privater SSH-Schlüssel bis hin zu Backdoor-Platzierungen. Selbst vor dem Versuch, proprietären Code mit gefälschten Patches zu ändern, machten die Angreifer nicht Halt.

Manipulierter Open-Source-Code ist laut Sonatype schwer zu erkennen, da er sich von den Beiträgen gutwilliger Kontributoren nicht großartig unterscheidet. Mit den erweiterten Nexus-Intelligence-Funktionen sei man nicht nur dazu in der Lage, bösartige Aktivitäten basierend auf dem Commit-Verhalten zu erfassen, sondern verfüge auch über Echtzeit-Metadaten über die Qualität neuer Komponentenversionen.

Entwickler könnten so die Integrität jeder neuen Komponentenversion sicherstellen und gleichzeitig das Abhängigkeitsmanagement automatisieren und skalieren. Das manuelle Verwalten von Abhängigkeiten wird Development-Teams also abgenommen.

Die erste Iteration der neuen Nexus-Intelligence-Funktionen zielt auf ein besseres Verständnis des Commit-Verhaltens und der Muster von npm-Komponenten und -Erstellern ab. Im Laufe der Zeit will Sonatype die Fähigkeiten auf weitere Sprachen ausdehnen.