Naar eigen budget samenstellen
Keuze uit AMD en Intel
Kwaliteit voor de laagste prijs
Vakkundig & gebouwd met aandacht
Uitvoerig door ons getest
Naar eigen wens samenstellen
Keuze uit AMD en Intel
Kwaliteit voor de laagste prijs
Vakkundig en gebouwd met aandacht
Uitvoerig door ons getest
Game PC Expert
+ 10 jaar ervaring
Software Expert
+ 25 jaar ervaring
GitLab heeft Package Hunter uitgebracht, een tool die kwaadaardige code moet ontdekken in afhankelijkheden, of bibliotheken van derden die ontwikkelaars aan hun eigen code toevoegen, voordat het schade kan aanrichten. De tool is open source en wordt gratis vrijgegeven.
Package Hunter installeert de afhankelijkheden in een sandbox-omgeving en bewaakt alle systeemaanroepen die door de afhankelijkheden worden gedaan tijdens de installatie. Als er tussendoor een verdachte oproep is, krijgt de gebruiker een melding, zodat hij actie kan ondernemen. Momenteel ondersteunt Package Hunter NodeJS-modules en Ruby Gems.
GitLab heeft Package Hunter mede ontwikkeld omdat het hoopt dat dit ontwikkelaars meer vertrouwen geeft in het gebruik van openbare bibliotheken. Het is gemakkelijk om openbare bibliotheken opnieuw te gebruiken en nieuwe functies toe te voegen, maar het risico bestaat dat bugs of kwaadaardige code via deze afhankelijkheden aan hun software worden toegevoegd.
Uit onderzoek uit 2020 blijkt dat open source-pakketten regelmatig worden misbruikt voor supply chain-aanvallen. Zo werd vorig jaar kwaadaardige code toegevoegd aan het populaire pakket event-stream. Begin dit jaar publiceerde onderzoeker Alex Birsan hoe hij afhankelijkheden kon gebruiken om onder meer Apple en Microsoft binnen te dringen.
GitLab test Package Hunter sinds november vorig jaar en heeft de tool nu gratis en open source uitgebracht. Op deze manier hoopt GitLab dat ontwikkelaars zullen blijven bijdragen aan het project en bugs zullen rapporteren. Package Hunter kan aan elk project worden toegevoegd met behulp van de GitLab CI-sjabloon .
Nieuws overzicht