Kaynak kodu, herhangi bir uygulamanın veya yazılım ürününün temel yapı taşlarını oluşturur. Herhangi bir teknoloji merkezli kuruluşun bel kemiğidir. Kaynak kodu, şirketinizin fikri mülkiyetine ilişkin özel bilgileri barındırır ve şirketinizin çalışmasını sağlayan verileri korur.
Üçüncü taraf açık kaynak bileşenlerini entegre etmek, yazılım ekiplerinin sıfırdan geliştirme yapmak zorunda kalmadan halihazırda mevcut olan kodu kullanmasını kolaylaştırır. Ne yazık ki, bu kolaylığın dezavantajı, üçüncü taraf satıcıları hedef alan ve tedarik zinciri saldırılarına neden olan riskleri içerir. Bir tedarik zinciri saldırısı sırasında, siber suçlular üçüncü taraf koduna kötü amaçlı yazılım ekleyebilir veya sistemler oluşturabilir, böylece kuruluşa ve ilgili müşterilerine kötü amaçlı yazılım gönderebilir.
Bu blogda, MetaDefender Jenkins eklentisini kullanarak kaynak koddaki kötü amaçlı yazılımların nasıl önleneceğini göstereceğim.
Secure Jenkins için MetaDefender Eklentisi ile derlemeler
MetaDefender for Jenkins eklentisi, Jenkins derlemelerini kötü amaçlı yazılımlara karşı tarar ve kaynak kodunuzu ve yapıtlarınızı tehditlere karşı kontrol eder. Gelişmiş kötü amaçlı yazılımlar tek bir antivirüs (AV) motorunu kolayca atlayarak kaynak kodunu riske atabilir. Kötü amaçlı yazılım tespitinde yanlış pozitif, çoğu AV çözümünde yaygın bir yan etkidir ve bu da düzeltme çabalarının, zamanın ve kaynakların boşa harcanmasına neden olur. MetaDefender for Jenkins, yazılım yapılarınız için algılama oranlarını artırmak ve salgın tespit sürelerini azaltmak için çoklu tarama teknolojisi olan Metascan'ı kullanır.
İşte kötü amaçlı yazılımların nasıl sızabileceğini gösteren iki senaryo: kaynak kodda ve derleme işlemi sırasında.
Senaryo 1: Kaynak Kodunda Kötü Amaçlı Yazılım
Bu durumda kaynak kodu kendi kaynak kodunuz (bir geliştiricinin ele geçirilmiş makinesinden) veya üçüncü taraf bir kütüphaneden olabilir. İlk senaryoda, GitHub'daki üçüncü taraf bir kütüphane deposunu kontrol etmek istedim. Deponun tehdit içermediğinden emin olmak için, Jenkins için MetaDefender eklentisi ile tarama yapmak üzere bir derleme adımı ekledim.
Ayrıca kaynak kodunda herhangi bir tehdit varsa derlemenin "başarısız" olarak dönmesini istedim.
Derlemeyi çalıştırmayı denedikten sonra, MetaDefender Jenkins eklentisi tarafından yakalanan virüslü dosyalar nedeniyle sonuç "başarısız" olarak işaretlendi.
Senaryo 2: Derleme Sürecinde Ortaya Çıkan Kötü Amaçlı Yazılım
Deponuzu taramanın kaynak kodunuzu korumak için yeterli olduğunu düşünüyorsanız, bu her zaman doğru olmayabilir. Bazı kötü amaçlı yazılımlar orijinal kaynak kodu deposunda bulunmaz, ancak bağımlılıklar veya kütüphaneler gibi bileşenleri indirdiğinizde ortaya çıkabilir. Bu ikinci videoda, ikinci senaryonun bir örneğini ve MetaDefender Jenkins eklentisini kullanarak bunun nasıl önlenebileceğini gösterdim.
Gördüğünüz gibi, ilk çalıştırmada kaynak kodu taradıktan sonra herhangi bir sorun bulunamadı.
Bundan sonra, bir build.bat dosyası kullanarak sürece yeni bir derleme adımı ekledim ve derlemeyi yeniden başlattım.
Gösteri amacıyla, gerçek hayat senaryosunda kötü amaçlı yazılım yükleme eylemini simüle etmek için bir EICAR test paketi indirmek üzere npm kullandım. Bu durumda, orijinal kaynak kodunda herhangi bir tehdit olmamasına rağmen, kötü amaçlı npm paketi derleme sırasında komut dosyasında meydana geldi. MetaDefender Jenkins eklentisi tehdidi tespit ederek derlemeyi başarısız olarak işaretledi.
Ayrıntılı tarama sonuçları MetaDefender Core adresinde gösterilmektedir.
Jenkins için OPSWAT MetaDefender hakkında
OPSWAT MetaDefender for Jenkins, uygulamanızı herkese açmadan önce derlemelerinizi kötü amaçlı yazılımlara ve gizli bilgilere karşı kontrol eder. 30'dan fazla lider anti-virüs motoru da dahil olmak üzere MetaDefender platformunun tüm yetenekleriyle desteklenmektedir, Deep CDRve Proactive DLPJenkins için MetaDefender eklentisi, kaynak kodunuzu ve yapıtlarınızı herhangi bir tehdide karşı kapsamlı bir şekilde tarayacaktır. Kötü amaçlı yazılım salgınlarını ve hassas veri sızıntısını önlemeye yardımcı olan yerleşik hata korumaları aracılığıyla olası sorunlar hakkında bilgilendirileceksiniz. Jenkins içinMetaDefender ve diğer OPSWAT ücretsiz araçlar hakkında daha fazla bilgi edinin.
Daha fazla bilgi için lütfen siber güvenlik uzmanlarımızla iletişime geçin.
