English
Français
Deutsch
Español
Italiano
Português
한국어
Русский
Socket は JavaScript と Python を超えて Go に移行します • The Register
Jul 31, 2023インタビュー オープン ソース セキュリティ ビジネスの Socket は、以前は JavaScript と Python のみに対応していたソース コードの依存関係チェッカーを拡張し、Go コードのチェックのサポートを追加します。
シリーズ A ラウンドで 2,000 万ドルの資金調達を発表したため、このセキュリティ ショップはコードのツールキットに 3 つの追加を行い、忙しい一週間を過ごしました。
「オープンソースソフトウェアはアプリケーション開発の方法に革命をもたらしましたが、それ自体が一連の課題ももたらしました」と同社CEOのフェロス・アブカディジェ氏はThe Registerに語った。 「最も大きなものの 1 つは、最新のアプリケーションが依存する膨大な依存関係のセキュリティを確保することです。」
「アプリケーションはあまりにも多くの依存関係を使用するので、気が遠くなります。一例として、200 か国以上の 380,000 人を超える貢献者によって構築された 19,000 を超える依存関係を使用する Discord デスクトップ クライアントが挙げられます。」
Go Aboukhadijeh 氏は、Socket はセキュリティ リスクを特定することで、開発者がより安全なソフトウェアを作成できるよう支援しようとしていると述べました。 あるいは、発表の発行日である 2023 年 8 月 3 日に従って、2 日後にそうする予定です。
Go は、「開発者コミュニティ、特に Socket の顧客の間で急速に採用されている言語です。Go はそのシンプルさと効率性で知られており、高パフォーマンスのアプリケーションに人気の選択肢となっています。しかし、他の言語と同様に、Go はそのシンプルさと効率性で知られています。」とアブカディジェ氏は述べました。 、特に分散型 VCS ベースの依存関係取得アプローチのため、セキュリティ リスクを免れることはできません。」
昨年デビューした Socket には、個人開発者向けの無料利用枠に加えて、有料のチームおよびエンタープライズ利用枠があります。 オープンソース パッケージを評価するためのセキュリティ スキャナーは他にも存在しますが、これらは一般的に既知の脆弱性を対象としている点に注目して、競合他社との差別化を図っています。 Socket は逆のアプローチを採用し、すべてのオープン ソース パッケージが悪意のあるものである可能性があるという前提から始めます。
「Socketはパッケージの動作を分析して、インストールスクリプト、難読化されたコード、シェル、ネットワーク、ファイルシステム、環境変数などの特権APIを捕捉する」とセキュリティショップは昨年ツイートした。
Socket の登場は、ソフトウェア サプライ チェーンに対する重大な攻撃が最近発見されたことを受けてのことです。 これには、ビルドおよび統合プロセス中に実行されるサードパーティのライブラリまたはスクリプトを介してソフトウェア アプリケーションを侵害する試みが含まれます。
このような攻撃の蔓延により、米国連邦政府は、関連する取り組みの中でも特に、ソフトウェア部品表 (SBOM) を通じてソフトウェア開発の実践をプログラマーに文書化するよう義務付けています。
Socket は、Chromium ベースの Web ブラウザ用の無料のブラウザ拡張機能である Firefox も導入しました。これは、NPM レジストリでホストされているコード パッケージのセキュリティ分析データを明らかにすることを目的としています。 このプラグインのバージョンは、Apple の Safari ブラウザ用にも提供される予定です。
「私たちの目標は、開発者が発見するのに何時間もかかる情報を生成し、アプリケーションに追加する新しいオープンソース パッケージを探す重要な瞬間に開発者がすぐに利用できるようにすることです」とアブカディジェ氏は述べた。 。
不正行為者が、何の疑いも持たない開発者が破壊されたライブラリをアプリに追加できるように、侵害されたコードを JavaScript の NPM パッケージ マネージャーに忍び込ませようとするのは非常に一般的になっています。 Socket ブラウザー拡張機能は、NPM パッケージの Web ページを精査するため、疑わしい理由があるかどうかを簡単に確認できます。
「オープンソース ソフトウェアのセキュリティを確保するという課題は、再帰的なものです」とアブカディジェ氏は述べています。 「これは、アプリ開発者が安全な依存関係を選択することだけでなく、それらの依存関係自体が安全な依存関係に依存することなどにも関係します。この複雑さは、セキュリティ情報に広くアクセスできるようにすることの重要性を強調しています。」
アブカディジェ氏は、Socket が自社 Web サイトでセキュリティ分析データを喜んで無料で提供していると述べ、そのようなデータが開発者に悪質なコードを避けるよう警告する一例を指摘した。
たとえば、公開時点でまだ NPM によってホストされているマルウェアを含んだパッケージのソケット パッケージ レポートは次のとおりです: https://socket.dev/npm/package/bobjoll/overview/6.640.3。さらに深く掘り下げると、Socket は悪意のあるファイルへのディープ リンクをここで提供します: https://socket.dev/npm/package/bobjoll/files/6.640.3/scripts/script.js"