GitLab ได้เปิดตัวเครื่องมือ opensource ใหม่ที่มีชื่อว่า Package Hunter ซึ่งเป็นเครื่องมือที่จะช่วยตรวจจับโค้ด malicious ในส่วนประกอบของซอฟต์แวร์ที่มีการอ้างอิงได้
ซอฟต์แวร์สมัยใหม่นั้นมักจะขึ้นกับ package ข้างนอกหรือ 3rd-party หลายๆ ตัว ซึ่งบางตัวนั้นอาจจะไม่ได้มีการดูแลรักษาหรือติดตามสำหรับช่องโหว่ความปลอดภัยมานานแล้ว ดังนั้น Package Hunter ที่มีการเชื่อมตรงกับแพลตฟอร์ม Continuous Integration (CI) ของ GitLab จะสามารถรัน dependencies ต่างๆ ของ project ในทรัพยากรทดสอบต่างๆ ที่รู้จักกันในนาม sandbox แล้วใช้ประโยชน์”การวิเคราะห์พฤติกรรมแบบพลวัต (dynamic behavior analysis)” เพื่อระบุ package ที่เป็น malicious ที่อาจจะพยายามสกัดเอาข้อมูลส่วนบุคคลหรือส่วนที่พยายามจะรันโค้ดอื่นขึ้นมาโดยที่ไม่ตั้งใจได้
“ระบบที่ต้องสงสัยว่าจะมีอันตรายนั้นจะถูกรายงานไปให้กับผู้ใช้รับทราบเพื่อตรวจสอบเพิ่มเติม” ฝ่ายวิจัยด้านความปลอดภัยแห่ง GitLab คุณ Dennis Appelt เขียนในบล็อคโพส
Package Hunter จะเป็น service ที่รันขึ้นมาโดย default บนพอร์ต 3000 ที่ผู้ใช้งานจะสามารถควบคุมได้ผ่าน Package Hunter CLI และเพื่อวิเคราะห์ project ใดๆ ผู้ใช้สามารถสร้างไฟล์ tar ที่บีบอัดมาจาก project ที่ต้องการตรวจสอบแล้วส่งเข้าไปใน server ได้เลย
Source :
https://venturebeat.com/2021/08/02/gitlabs-open-source-package-hunter-detects-malicious-code-in-dependencies/
https://www.infoq.com/news/2021/08/gitlab-package-hunter/