Rješenje je namijenjeno programerima i proizvođačima softvera koji prije ugradnje paketa iz javnih repozitorija u svoje aplikacije žele provjeriti sadrže li maliciozne komponente.
Putem portala Spectra Assure Community može se besplatno provjeriti niz ključnih sigurnosnih parametara za više od 5 milijuna paketa otvorenoga koda. Za sada su podržani repozitoriji npm, PyPi i RubyGems; uskoro će biti dodan i Maven. Rješenje je dostupno na adresi secure.software, a funkcionira kao tražilica u koju se upisuje ime paketa kojeg se provjerava.
Za svaki paket sustav će prikazati najnovije procjene sigurnosti i rizika: sadrži li malware, je li kod neovlašteno mijenjan, pokazuje li sumnjiva ponašanja, ima li ranjivosti, curenja podataka, problema s licencama i drugih rizika.
Proizvod se temelji na obuhvatnom Spectra Assure rješenju za sigurnost lanca opskrbe softvera, koju je ReversingLabs u veljači predstavio u SAD-u, kao za sada jedino rješenje koje složenu binarnu analizu izvodi pomoću umjetne inteligencije. Spectra Assure od tada je osvojila nekoliko nagrada na ključnim konferencijama američke sigurnosne branše, a jedan njezin sloj sada je besplatno dostupan programerima širom svijeta.
Cilj je, po riječima suosnivača ReversingLabsa i glavnog softverskog arhitekta Tomislava Peričina, staviti programerima na raspolaganje iscrpne i lako pretražive podatke o prijetnjama i rizicima, i to u stvarnom vremenu, kako bi gradili siguran softver.
- U otvorenom kodu, ali i u vlastitom i komercijalnom softveru te softveru trećih strana kriju se opasnosti koje izlažu i proizvođače i kupce poslovnog softvera sve većem riziku, naveo je Tomislav Peričin.
Po istraživanjima ReversingLabsa, broj zlonamjernih paketa u repozitorijima otvorenog koda se u razdoblju od 2020. do 2023. povećao za čak 1300%.
Izvješće američkog telekomunikacijskog giganta Verizona o povredi podataka za 2024. potvrđuje da su programeri sve češće na meti kriminalaca i aktera koje sponzoriraju države te moraju biti sigurni da paketi koda koje preuzimaju iz javnih repozitorija ne sadrže problematične komponente.
Predstavljanje ovog rješenja u srijedu su pozitivno dočekali i u neprofitnoj Linuxovoj Zakladi za sigurnost otvorenog koda (OpenSSF). Riječ je o vodećoj svjetskoj inicijativi za jačanje sigurnosti otvorenog koda, kojoj se ReversingLabs pridružio 2022.
- Doprinosi ReversingLabsa našem repozitoriju zlonamjernih paketa omogućit će nam da povećamo bazu podataka i pružimo iscrpnije podatke istraživačima koji rade na prepoznavanju trendova i loših aktera, izjavio je Omkhar Arasaratnam, generalni direktor OpenSSF-a.
