GitLab schickt Package Hunter auf die Jagd nach Schadcode

Das von GitLab entwickelte Werkzeug Package Hunter ist darauf ausgelegt, Dependencies eines Programms nach Schadcode oder anderem unerwarteten Verhalten zu durchsuchen. Intern ist es bei der Versionsverwaltungsplattform bereits seit November 2020 in Verwendung, und nun steht es als Open-Source-Tool in einer Beta-Version bereit.

Funktionsweise und Voraussetzungen

Zum Untersuchen installiert Package Hunter Dependencies in einer Sandbox-Umgebung und überwacht die Systemaufrufe während der Installation. Bei verdächtigem Verhalten benachrichtigt das Tool die Nutzer. Derzeit ist mit Package Hunter das Testen von Node.js-Modulen und RubyGems möglich.

Package Hunter soll sich nahtlos in die Arbeit mit GitLab, derzeit in Version 14.1 verfügbar, einfügen. Mithilfe des GitLab CI Template ist das Hinzufügen eines Package-Hunter-Auftrags zum eigenen Projekt möglich, wie die Dokumentation zeigt:

include: "https://gitlab.com/gitlab-org/security-products/package-hunter-cli/ci/template/Package-Hunter.gitlab-ci.yml"

 

.package_hunter-base:

  variables:

    HTR_user: "$PACKAGE_HUNTER_USER"

    HTR_pass: "$PACKAGE_HUNTER_PASS"

    HTR_host: "https://package-hunter-server.example"

Eine der Voraussetzungen zur Einrichtung eines Servers für Package Hunter ist Version 0.23.0 des Runtime-Security-Tools Falco, neuere Versionen könnten inkompatibel sein. Zudem müssen Docker 20.10 oder höher sowie Node 12.21 oder höher installiert sein. Aufgrund des Status als Beta-Version soll Package Hunter noch nicht auf Produktionsservern eingesetzt werden.

Durch die öffentliche Verfügbarkeit von Package Hunter erhofft sich GitLab unter anderem ein erhöhtes Vertrauen in Open-Source-Supply-Chains. GitLab ist nicht die einzige Versionsverwaltungsplattform, die sich für mehr Sicherheit in der Supply Chain engagiert. So hat GitHub kürzlich eine Reihe von Security-Features auf Go Modules erweitert.

Alles weitere zu Package Hunter ist auf dem GitLab-Blog nachzulesen.

(mai)