Атаките към веригите за доставка са едни от най-трудните за

Атаките към веригите за доставка са едни от най-трудните за засичане и преодоляване. В последните години бяхме очевидци на голям брой такива. Примери са тези към MOVEit Transfer, SolarWinds, MeDoc и NotPetya. Проблемът с този вид офанзиви е, че идват от обичайно доверени и надеждни среди, което приспива бдителността на жертвите и експертите по киберсигурност. Особено рискови са офанзивите, които употребяват стар или занемарен код. Каквито бяха случаите при Pollyfil.io и Log4j.

Хората, поддържащи известното вместилище за код Python Package Index (PyPI) знаят това и неотдавна са взели ограничения в тази посока. Администриращите хранилището са показали Project Archival. Това е нова система, която разрешава на разработчиците да архивират плановете си, с което уведомяват, че актуализации по тях не се плануват в бъдеще.

Проектите ще останат налични в PyPI, само че тези, които ги смъкват ще виждат предизвестие, уведомяващо ги за положението им и техните зависимости. Това би предотвратило голям брой случаи, в които сметки в хранилището се завладяват и хакери разгласяват от непознато име зловредни актуализации.

TrailofBits, основатели на новата система, обезпечават на притежателите на складове статус, който могат да управляват и маркират сами плановете за архивирани. От PyPI поучават избралите да архивират плановете си да включат пояснение за повода за действието си. Ако изискат да разархивират плана си, те ще могат да го създадат по всяко едно време. От секцията с настройки създателите на плана ще намерят бутон „ Архивирай плана “. Това автоматизирано ще обнови метаданните на платформата за отразяване на новия статут на хранилището.

Самите TrailofBits имат намерение да вкарат и други статуси в бъдеще. Те ще включват етикети, като „ неподдържано “, „ приключено, като характерности “ и други