קוד המקור מהווה את אבני הבניין הבסיסיות של כל יישום או מוצר תוכנה. זהו עמוד השדרה של כל ארגון המתמקד בטכנולוגיה. קוד המקור מכיל מידע קנייני על הקניין הרוחני של החברה שלך ומגן על הנתונים ששומרים על פעילות החברה שלך.
שילוב רכיבי קוד פתוח של צד שלישי מאפשר לצוותי תוכנה להשתמש בקלות בקוד שכבר זמין, מבלי שיהיה צורך לפתח מאפס. למרבה הצער, החיסרון של נוחות כזו כרוך בסיכונים המכוונים לספקי צד שלישי, וגורמים להתקפות בשרשרת האספקה. במהלך מתקפת שרשרת אספקה, פושעי סייבר יכולים להחדיר תוכנות זדוניות לקוד של צד שלישי או לבנות מערכות, ובכך להעביר תוכנות זדוניות לארגון וללקוחות הקשורים אליו.
בבלוג זה אדגים כיצד למנוע תוכנות זדוניות בקוד המקור באמצעות MetaDefender תוסף ג'נקינס.
Secure בונה עם MetaDefender תוסף עבור ג'נקינס
התוסף MetaDefender עבור Jenkins סורק את גרסאות Jenkins לאיתור תוכנות זדוניות ובודק את קוד המקור והארטיפקטים שלך לאיתור איומים. תוכנות זדוניות מתקדמות יכולות לעקוף בקלות מנוע אנטי-וירוס (AV) יחיד, ולסכן את קוד המקור. תוצאה חיובית כוזבת בזיהוי תוכנות זדוניות היא גם תופעת לוואי נפוצה ברוב פתרונות ה-AV המובילה לבזבוז מאמצי תיקון, זמן ומשאבים. MetaDefender עבור Jenkins משתמשת Metascan - טכנולוגיית סריקה מרובת-תוכנות - כדי להגדיל את שיעורי הגילוי ולהקצר את זמני גילוי ההתפרצויות עבור בניית התוכנה שלך.
הנה שני תרחישים המראים כיצד תוכנות זדוניות יכולות לחדור: לקוד המקור ובמהלך תהליך הבנייה.
תרחיש 1: תוכנה זדונית בקוד המקור
קוד המקור במקרה זה יכול להיות קוד המקור שלך (ממכונה פרוצה של מפתח) או מספרייה של צד שלישי. בתרחיש הראשון, רציתי לבדוק מאגר ספרייה של צד שלישי ב-GitHub. כדי לוודא שהמאגר נקי מאיומים, הוספתי שלב בנייה לסריקה עם ה- MetaDefender תוסף עבור ג'נקינס.
רציתי גם שהבנייה תחזור כ"נכשלה" אם יהיו איומים בקוד המקור.
לאחר ניסיון להריץ את הבנייה, התוצאה סומנה כ"נכשלה" עקב הקבצים הנגועים שנתפסו על ידי MetaDefender תוסף ג'נקינס.
תרחיש 2: תוכנה זדונית שהוכנסה בתהליך הבנייה
אם אתם חושבים שסריקת המאגר שלכם מספיקה כדי להגן על קוד המקור שלכם, ייתכן שזה לא תמיד נכון. תוכנות זדוניות מסוימות אינן קיימות במאגר קוד המקור המקורי אך יכולות להיכנס אליה בעת הורדת רכיבים כגון תלויות או ספריות. בסרטון השני הזה, הדגמתי דוגמה לתרחיש השני וכיצד למנוע זאת באמצעות... MetaDefender תוסף ג'נקינס.
כפי שאתם רואים, לא נמצאו בעיות לאחר שסרקתי את קוד המקור בהפעלה הראשונה.
לאחר מכן, הוספתי שלב בנייה חדש לתהליך באמצעות קובץ build.bat והתחלתי את הבנייה מחדש.
למטרות הדגמה, השתמשתי ב-npm כדי להוריד חבילת בדיקה של EICAR כדי לדמות את פעולת התקנת תוכנה זדונית בתרחיש אמיתי. במקרה זה, למרות שלא היו איומים בקוד המקור המקורי, חבילת npm הזדונית הופיעה בסקריפט במהלך הבנייה. MetaDefender תוסף Jenkins זיהה את האיום, וסימן את הבנייה ככושלת.
תוצאות הסריקה המפורטות מוצגות ב MetaDefender Core .
אוֹדוֹת OPSWAT MetaDefender עבור ג'נקינס
OPSWAT MetaDefender עבור Jenkins בודק את ה-builds שלך לאיתור תוכנות זדוניות וסודות לפני שהוא משחרר את האפליקציה שלך לציבור. מופעל על ידי מלוא היכולות של MetaDefender פלטפורמה - הכוללת יותר מ -30 מנועי אנטי-וירוס מובילים , Deep CDR ו- Proactive DLP - ה- MetaDefender התוסף עבור Jenkins יסרוק ביסודיות את קוד המקור והארטיפקטים שלך לאיתור כל איום. תקבלו הודעה על בעיות פוטנציאליות באמצעות מערכות הגנה מובנות המסייעות במניעת התפרצויות תוכנות זדוניות ודליפת נתונים רגישים. למדו עוד על MetaDefender עבור Jenkins וכלים חינמיים אחרים OPSWAT .
למידע נוסף, אנא צרו קשר עם מומחי אבטחת הסייבר שלנו .
