कैसे GitLab का पैकेज हंटर आपूर्ति श्रृंखला हमलों को रोकता है

जैसे-जैसे सॉफ्टवेयर प्रोजेक्ट बढ़ते जा रहे हैं, डेवलपर्स अधिक से अधिक तृतीय-पक्ष पुस्तकालयों का उपयोग करते हैं। यह शिपिंग नई सुविधाओं को एक तेज़ और अधिक कुशल प्रक्रिया बनाता है। हालांकि, जब आपका प्रोग्राम किसी और द्वारा बनाए गए पुस्तकालयों पर निर्भर करता है, तो एक अच्छा मौका है कि कुछ अप्रत्याशित हो सकता है।

दुर्भावनापूर्ण कोड वाले मॉड्यूल का लाभ उठाने वाले सॉफ़्टवेयर आपूर्ति श्रृंखला हमलों की संख्या बढ़ रही है। इन हमलों को रोकने के लिए GitLab पैकेज हंटर नामक एक नया टूल लेकर आया है।

पैकेज हंटर कैसे काम करता है?

पैकेज हंटर सॉफ्टवेयर मॉड्यूल में निर्भरता की निगरानी के लिए एक मजबूत उपकरण है और अवांछित व्यवहार के बारे में प्रोग्रामर को अलर्ट करता है। यह GitLab सुरक्षा टीम द्वारा विकसित एक ओपन-सोर्स प्रोजेक्ट है। लेखन के समय, पैकेज हंटर NodeJS मॉड्यूल और रूबी रत्न के साथ काम करता है।

यह दुर्भावनापूर्ण कोड देखने के लिए आपके प्रोग्राम की निर्भरता का विश्लेषण करता है। ऐसा करने के लिए, पैकेज हंटर सैंडबॉक्स वातावरण में आवश्यक मॉड्यूल स्थापित करेगा और सिस्टम कॉल की निगरानी करेगा । यदि इनमें से कोई भी सिस्टम कॉल संदिग्ध या असामान्य लगती है, तो पैकेज हंटर तुरंत डेवलपर को सचेत करेगा।

हुड के तहत, पैकेज हंटर फाल्को का उपयोग करता है, एक क्लाउड-देशी सुरक्षा परियोजना जो रनटाइम पर खतरों का पता लगा सकती है। यह उस समय को कम करता है जब प्रोग्रामर को मैन्युअल रूप से कोड की समीक्षा करने की आवश्यकता होती है।

अपनी परियोजनाओं में पैकेज हंटर का उपयोग कैसे करें

पैकेज हंटर मौजूदा GitLab टूलिंग के साथ सहजता से एकीकृत करता है। इसे अपने प्रोजेक्ट के लिए उपयोग करने के लिए, पहले, अपने स्थानीय मशीन पर सॉफ़्टवेयर स्थापित करें। पैकेज हंटर स्थापित करने के लिए इन निर्देशों का पालन ​​करें।

ध्यान दें कि इस पैकेज के लिए फाल्को 0.23.0, डॉकर 20.10 (या बाद के संस्करण), और नोड 12.21 (या बाद के संस्करण) की आवश्यकता है। स्थापना पूर्ण होने के बाद आप CI पाइपलाइनों में पैकेज हंटर का उपयोग शुरू कर सकते हैं। सीआई पाइपलाइनों में पैकेज हंटर का उपयोग करने के लिए इन निर्देशों का पालन करें।

पैकेज हंटर का उपयोग करके अपने सॉफ़्टवेयर की सुरक्षा करें

GitLab का पैकेज हंटर उन डेवलपर्स के लिए एक प्रभावी उपकरण है जो लगातार अपनी परियोजनाओं में दुर्भावनापूर्ण कोड की तलाश करते हैं। जैसे-जैसे आपूर्ति श्रृंखला के हमले तेजी से आम होते जा रहे हैं, हमें अपने सॉफ़्टवेयर की सुरक्षा के लिए तेज़ी से अनुकूलन करने की आवश्यकता है। अपने अगले बड़े प्रोजेक्ट को सुरक्षित रखने के लिए इन हमलों के बारे में स्पष्ट जानकारी होना महत्वपूर्ण है।