Dalış Özeti:
- Açık Kaynak Güvenliği Vakfı Tehdit paylaşım platformu başlattı Pazartesi, aktif olarak istismar edilen güvenlik açıklarına ve açık kaynak yazılım tedarik zincirini etkileyebilecek diğer tehditlere karşı bir erken uyarı sistemi sağlamak üzere tasarlandı.
- OpenSSF Sireni adı verilen platform, geliştiricilerin, bakımcıların ve açık kaynak güvenlik uzmanlarının, son saldırılarda kullanılan uzlaşma göstergelerini ve taktikleri, teknikleri ve prosedürleri paylaşmalarına olanak tanıyacak.
- Lansman, bir şeyin keşfedilmesinden haftalar sonra gerçekleşir. XZ Utils’i devralmak için çok yıllı bir kampanya ve benzer bir sosyal mühendislik saldırısının ifşa edilmesi OpenJS Vakfı.
Dalış Bilgisi:
OpenSSF Siren’in piyasaya sürülmesi, açık kaynak topluluğunun güvenliğini güçlendirmeye yönelik çok yıllık çabaların en sonuncusunu işaret ediyor.
Açık kaynak topluluğu, finansman eksikliği, aşırı tükenmişlik ve kötü niyetli faaliyetlerin tespit edilmesini ve azaltılmasını zorlaştıran diğer eşitsizlikler nedeniyle sömürüye karşı savunmasızdır. mali destek ve personel eksikliği Açık kaynak bakımcılarının kullanımına açık olması, güvenlik müdahalesini süregelen bir zorluk haline getirdi.
Christopher, “Tehdit ve istismarlarla ilgili veriler, açık kaynaklı yazılım geliştirmenin yüksek oranda dağıtılmış, küresel yapısı ve bu açıklama sonrası bilgilerin paylaşılmasına yardımcı olacak merkezi Bilgi Paylaşımı ve Analiz Merkezi benzeri bir organın bulunmaması nedeniyle her zaman bir boşluk olmuştur” dedi. Robinson, OpenSSF Teknik Danışma Konseyi başkanı, e-posta yoluyla.
Endişeler Mart ayı sonlarında hızla arttı. Red Hat bir olayı açıkladı XZ Utils’in son sürümlerinde kötü amaçlı kodun bulunduğu yer. Bir grup şüpheli bilgisayar korsanı, bir Microsoft mühendisi tarafından kazara keşfedilen kötü amaçlı bir arka kapı kurdu.
XZ Utils olayının ifşa edilmesinin ardından OpenJS Vakfı yetkilileri, popüler bir JavaScript projesini devralmaya yönelik ayrı bir girişimi ortaya çıkardı.