#27 Sicherheit in der Dependency Hölle

#27 Sicherheit in der Dependency Hölle

Diese Episode in deiner Podcast-App hören...

Shownotes / Worum geht's?

Was haben die JavaScript Pakete left-pad, color, faker und cross-env gemeinsam? Alle waren in npm Package Sicherheits-Incidents involviert.

Wenn man sich die Anzahl von Javascript Abhängigkeiten bei Mittelgroßen Projekten ansieht, ist eine dreistellige Anzahl an JavaScript Paketen nicht unüblich. Das liegt primär an der überschaubaren Größe der Pakete und somit der Funktionalität. Alles nur, um Pakete verwaltbarer zu halten. Doch dieser Umstand macht das JavaScript-Ecosystem so attraktiv für Angreifer oder kann zu extremen Seiteneffekten führen. In dieser Episode sprechen wir drei npm Package Incidents durch, was es damit aufsich hatte, welche Attack-Möglichkeiten es noch gibt und wie man sich als Software Entwickler dagegen schützen kann.

Bonus: Was Bademeister, Blubberwasser und eine ASCII-Repräsentation von Uncle Sam und der amerikanischen Flagge mit JavaScript zu tun haben.


Feedback an stehtisch@engineeringkiosk.dev oder via Twitter an https://twitter.com/EngKiosk



Weitere nicht behandelte Incidents


Sprungmarken

(00:00:00) Intro

(00:00:35) Intro: 10.000 Downloads und Die Bademeister

(00:01:42) Wie viele Firmen setzen (bewusst) Open Source ein?  

(00:04:09) Wie viele Firmen unterstützen Open Source finanziell?

(00:06:22) Open Source Funding via Media Tech Lab

(00:08:11) Das Management von Software-Dependencies anhand des JavaScript-Ecosystems via npm

(00:08:59) Warum JavaScript als Beispiel genutzt wird und die Theorie warum JavaScript Pakete so klein sind und viele Abhängigkeiten haben

(00:15:06) npm Package Incident: Das Paket "left-pad" wurde aus der npm Registry entfernt (unpublished)

(00:23:06) npm Package Incident: Die Pakete "color" und "faker" geben Textmüll auf der Konsole aus

(00:27:29) npm Package Incident: Das Paket "cross-env" und der typosquatting-Angriff mit "crossenv"

(00:33:01) Weitere Angriffs-Vektoren in Bezug auf Software Dependencies: Böswilliger Maintainer, Schadcode in Sub-Dependency, Account-Übernahme und die falsche Package Registry

(00:40:23) Ein Lösungsweg: npm package scopes

(00:42:02) Weitere Lösungswege: Schadcode und frühere Fraud-Detection auf Plattform-Seite, die Überwachung von direkten Dependencies und Version-Pinning

(00:47:40) Dependabot: Versionen von Dependencies automatisch updaten und auf neue Dependencies achten

(00:53:44) Der gesunde Streit: Zanken und Bierchen

(00:54:17) Outro


Hosts


Engineering Kiosk Podcast: Anfragen an stehtisch@engineeringkiosk.dev oder via Twitter an https://twitter.com/EngKiosk