Secure Xây dựng của bạn từ mã nguồn đến thành phần lạ

Mar 11, 2022 bằng cách Vinh Lam, Trưởng phòng Chương trình Kỹ thuật Cao cấp

Chia sẻ bài viết này

Mã nguồn tạo thành các khối xây dựng cơ bản của bất kỳ ứng dụng hoặc sản phẩm phần mềm nào. Nó là xương sống của bất kỳ tổ chức tập trung vào công nghệ nào. Mã nguồn chứa thông tin độc quyền về tài sản trí tuệ của công ty bạn và bảo vệ dữ liệu giúp công ty của bạn hoạt động.

Tích hợp các thành phần nguồn mở của bên thứ ba giúp các nhóm phần mềm dễ dàng sử dụng mã đã có sẵn mà không cần phải phát triển từ đầu. Thật không may, nhược điểm của sự tiện lợi như vậy liên quan đến rủi ro nhắm vào các nhà cung cấp bên thứ ba, gây ra các cuộc tấn công chuỗi cung ứng. Trong một cuộc tấn công chuỗi cung ứng, tội phạm mạng có thể chèn phần mềm độc hại vào mã của bên thứ ba hoặc xây dựng hệ thống, do đó cung cấp phần mềm độc hại cho tổ chức và các khách hàng liên quan.

Trong blog này, tôi sẽ trình bày cách ngăn chặn phần mềm độc hại trong mã nguồn bằng cách sử dụng MetaDefender Plugin Jenkins.

Secure Các bản dựng với MetaDefender Plugin cho Jenkins

Các MetaDefender cho Jenkins plugin quét Jenkins xây dựng cho phần mềm độc hại và kiểm tra mã nguồn và thành phần lạ của bạn để tìm các mối đe dọa. Phần mềm độc hại nâng cao có thể dễ dàng vượt qua một công cụ chống vi-rút (AV) duy nhất, khiến mã nguồn gặp rủi ro. Dương tính giả trong phát hiện phần mềm độc hại cũng là một tác dụng phụ phổ biến trong hầu hết các giải pháp AV dẫn đến lãng phí nỗ lực khắc phục, thời gian và tài nguyên.MetaDefender cho Jenkins sử dụng Metascan—một công nghệ đa quét—để tăng tỷ lệ phát hiện và giảm thời gian phát hiện ổ dịch cho các bản dựng phần mềm của bạn.

Dưới đây là hai kịch bản cho thấy phần mềm độc hại có thể xâm nhập như thế nào: trong mã nguồn và trong quá trình xây dựng.

Tình huống 1: Phần mềm độc hại trong mã nguồn

Mã nguồn trong trường hợp này có thể là mã nguồn của riêng bạn (từ máy bị xâm nhập của nhà phát triển) hoặc từ thư viện của bên thứ ba. Trong kịch bản đầu tiên, tôi muốn kiểm tra kho lưu trữ thư viện của bên thứ ba trong GitHub. Để đảm bảo kho lưu trữ không có mối đe dọa, tôi đã thêm một bước xây dựng để quét bằng MetaDefender plugin cho Jenkins.

Ảnh chụp màn hình-quét-với-metadefender-for-jenkins-plugin

Tôi cũng muốn bản dựng trở lại là "thất bại" nếu có bất kỳ mối đe dọa nào trong mã nguồn.

Sau khi cố gắng chạy bản dựng, kết quả được đánh dấu là "không thành công" vì các tệp bị nhiễm bị bắt bởi MetaDefender Plugin Jenkins.

Tình huống 2: Phần mềm độc hại được giới thiệu trong quá trình xây dựng

Nếu bạn nghĩ rằng quét kho lưu trữ của bạn là đủ để bảo vệ mã nguồn của bạn, nó có thể không phải lúc nào cũng đúng. Một số phần mềm độc hại không tồn tại trong kho lưu trữ mã nguồn gốc nhưng có thể được giới thiệu khi bạn tải xuống các thành phần như phụ thuộc hoặc thư viện. Trong video thứ hai này, tôi đã trình bày một ví dụ về kịch bản thứ hai và cách ngăn chặn nó bằng cách sử dụng MetaDefender Plugin Jenkins.

Như bạn có thể thấy, không có vấn đề nào được tìm thấy sau khi tôi quét mã nguồn trong lần chạy đầu tiên.

Sau đó, tôi đã thêm một bước xây dựng mới vào quy trình bằng cách sử dụng tệp .bat bản dựng và bắt đầu xây dựng lại.

Ảnh chụp màn hình-buildbat-scan-with-metadefender

Với mục đích trình diễn, tôi đã sử dụng npm để tải xuống gói thử nghiệm EICAR để mô phỏng hành động cài đặt phần mềm độc hại trong tình huống thực tế. Trong trường hợp này, trong khi không có bất kỳ mối đe dọa nào trong mã nguồn gốc, gói npm độc hại đã xảy ra trong tập lệnh trong quá trình xây dựng. Các MetaDefender Plugin Jenkins đã phát hiện mối đe dọa, đánh dấu bản dựng là không thành công.

Kết quả quét chi tiết được hiển thị trong MetaDefender Core.

Về OPSWAT MetaDefender cho Jenkins

OPSWAT MetaDefender cho Jenkins kiểm tra các bản dựng của bạn để tìm phần mềm độc hại và bí mật trước khi phát hành ứng dụng của bạn cho công chúng. Được hỗ trợ bởi toàn bộ khả năng của MetaDefender nền tảng—bao gồm hơn 30 công cụ chống vi-rút hàng đầu , Deep CDR và Công nghệ ngăn ngừa thất thoát dữ liệu chủ động — MetaDefender plugin cho Jenkins sẽ quét kỹ lưỡng mã nguồn và hiện vật của bạn để tìm bất kỳ mối đe dọa nào. Bạn sẽ được thông báo về các vấn đề tiềm ẩn thông qua các biện pháp an toàn tích hợp giúp ngăn chặn sự bùng phát của phần mềm độc hại và rò rỉ dữ liệu nhạy cảm. Tìm hiểu thêm về MetaDefender cho Jenkins và các công cụ miễn phí OPSWAT khác.

Để biết thêm thông tin, vui lòng liên hệ với các chuyên gia an ninh mạng của chúng tôi.

Tags:

Bài viết mới nhất

Vectơ tấn công bị bỏ qua nhiều nhất: Tệp của bạn
Tháng Tám, ngày 7, 2025
Độ phức tạp của phần mềm độc hại tăng vọt 127% trong sáu tháng: OPSWAT Báo cáo cho thấy các hệ thống cũ bỏ lỡ 1 trong 14 mối đe dọa
Tháng Tám, ngày 6, 2025
OPSWAT Bảo vệ các cơ sở hàng không vũ trụ và quốc phòng khỏi các mối đe dọa có thể tháo rời Media và các mối đe dọa của bên thứ ba
Tháng Tám, ngày 6, 2025
10 năm đổi mới: OPSWAT Vai trò của Romania trong việc bảo vệ thế giới cơ sở hạ tầng trọng yếu
Tháng Tám, ngày 5, 2025
Làm sao OPSWAT 'S Adaptive Sandbox vì Phân tích động đang cách mạng hóa Threat Intelligence
Tháng Tám, ngày 4, 2025

Đăng ký OPSWAT Tin

Nhận thông tin mới nhất OPSWAT cập nhật thông tin về công ty cùng với thông tin sự kiện và tin tức thúc đẩy ngành công nghiệp phát triển.

Đăng ký cho tôi

Theo dõi chúng tôi trên mạng xã hội Media

Theo OPSWAT trên LinkedIn, Facebook, Twitter và YouTube của bạn để biết thêm!

Luôn cập nhật với OPSWAT!

Đăng ký ngay hôm nay để nhận thông tin cập nhật mới nhất về công ty, câu chuyện, thông tin sự kiện và nhiều thông tin khác.

Đăng ký