I repository di codice sorgente pubblici, da Sourceforge a GitHub, dagli Archivi del Kernel di Linux a ReactOS.org, da PHP Packagist a Python Package Index, meglio conosciuto come PyPI, sono una fonte inestimabile di sistemi operativi gratuiti, applicazioni, librerie di programmazione e toolkit per sviluppatori. Ma a dispetto di tutti i vantaggi, anche questi presentano numerose sfide in termini di sicurezza informatica.
Il costo della gratuità
La maggior parte dei progetti software necessita di codice “ausiliario” che non rappresenta una parte fondamentale del problema che il progetto stesso sta cercando di risolvere. Tuttavia, i repository di codice sorgente della comunità portano con sé una serie di sfide per la sicurezza informatica. Fra queste, vi sono pacchetti popolari che scompaiono improvvisamente, progetti che vengono attivamente dirottati per fini malevoli, pacchetti truffa che si mascherano da innocenti, comportamenti capricciosi da parte di presunti “ricercatori” e, infine, caricamenti fraudolenti.
Una marea di upload fraudolenti su PyPI
Sfortunatamente, sembra che PyPI sia stato preso di mira da una serie di caricamenti automatizzati fraudolenti nel corso dell’ultimo weekend. Il team non ha ancora fornito dettagli su come sia stato condotto l’attacco, ma il sito ha temporaneamente bloccato l’iscrizione di nuovi utenti e la creazione di nuovi progetti da parte degli utenti esistenti.
Come proteggere il tuo progetto
Di fronte a queste sfide, è fondamentale prendere alcune precauzioni quando si utilizzano i repository di pacchetti. Non scegliere un pacchetto del repository solo perché il nome sembra corretto. Controlla che stai davvero scaricando il modulo giusto dal giusto editore. Non scaricare ciecamente gli aggiornamenti del pacchetto nei tuoi sistemi di sviluppo o di costruzione. Testa e rivedi tutto quello che scarichi prima di approvarlo per l’uso. Infine, non rendere facile per gli attaccanti entrare nei tuoi pacchetti. Scegli password adeguate, usa la 2FA quando puoi e non fidarti ciecamente dei nuovi arrivati nel tuo progetto non appena iniziano a chiedere di ottenere l’accesso come maintainer.