Chainguard расширяет свою платформу безопасности цепочки поставок благодаря запуску библиотек Chainguard для JavaScript, коллекции тысяч зависимостей JavaScript, восстановленных из источника, чтобы устранить риски для инъекций вредоносных программ.
Компания объявила о закрытой бета -версии сегодня, ускорив свою графику в ответ на недавние инциденты безопасности, затрагивающие экосистему JavaScript, сообщил The New Stack Patrick Donahue, SVP продукта Chainguard.
В последние недели в последние недели в последние недели атаки вредоносных программ попали в популярные пакеты NPM, заставляя некоторых компаний заморозить развитие, пока они выясняют их экспозицию.
«По сути, мы обходим всю часть, где обычно происходят атаки», — сказал Донахью, которая присоединилась к компании три недели назад из CloudFlare. «Это никогда не делалось раньше в таком масштабе. Это такие большие усилия, но именно поэтому наши клиенты смотрят на нас».
Недавние атаки подчеркивают риски JavaScript
Объявление происходит на фоне повышенной озабоченности по поводу безопасности цепочки поставок JavaScript. По словам Донахью, многочисленные атаки вредоносных программ в последние недели поставили под угрозу популярные пакеты NPM, используемые миллионами разработчиков, что побудило некоторых компаний полностью остановить развитие, пока они оценивают свое воздействие.
Атаки использовали фундаментальную слабость: пакеты JavaScript от NPM часто получают комплекты и перераспределяются на компьютеры пользователей, поэтому одна плохая зависимость может погрузиться в целое приложение.
«В частности, сложная вещь о JavaScript в том, что он перераспределяется», — объяснил Донахью. «У вас может быть 1000 библиотек, которые вы используете, но если какой -либо из них будет скомпрометирован, это может вызвать проблему с вашим приложением».
Некоторые из недавних атак стали креативными, развертывая вредоносное ПО, которое сканировало бы зараженные системы для инструментов разработки искусственного интеллекта и использовать их для сбора секретов и распространяться дальше.
Донахью использовала авиационную аналогию, чтобы проиллюстрировать уязвимость.
«Я собираюсь летать на Airbus A380. Этот самолет имеет 4 миллиона различных частей, 1500 поставщиков, 30 разных стран. Если какая -либо из этих частей — неправильная часть, или важная часть идет плохо, самолет спускается», — сказал он. «Программное обеспечение, очевидно, очень похоже на это».
Подход, созданный источником
Подход Чаунгура вырезает рискованный средний шаг. Вместо того, чтобы доверять предварительно построенным пакетам, они получают исходный код непосредственно из GitHub и восстанавливают все на безопасной инфраструктуре.
«То, что заканчивается на NPM, обычно строится кем -то, а затем опубликовано целой группой людей», — объяснил Донахью. «Отдельные разработчики будут загружать их или написать, а затем подтолкнуть их. И это своего рода вектор атаки — это не исходный код в репозитории на GitHub, который обычно затрагивается. Это когда -то на их машине и втягивается в NPM».
По его словам, то, что является Chainguard, похоже на «одного поставщика, который мог бы гарантировать, что детали были подлинными и устойчивыми к фальсификации и доставляли им, и никто не меняет их по дороге».
Это огромное начинание. Вместо того, чтобы сразу же пытаться восстановить каждый пакет JavaScript, Chainguard начинает с самых популярных библиотек и расширяется в зависимости от того, что нужно клиентам. Донахью признал масштаб начинания, когда сказал, что клиент недавно сказал им: «Подожди, позволь мне получить это правильно. Вы собираетесь построить все из источника, вверх по течению, как будто это огромные усилия. И мы сказали, да, это так».
«Вы можете сделать это и вроде кипятить океан и сделать каждый последний пакет, или вы можете сосредоточиться на пакетах, используемых клиентами, которые готовы к работе с вами», — сказал Донахью.
По его словам, компания использует агенты ИИ для ускорения процесса восстановления, позволяя человеческим разработчикам управлять несколькими автоматическими задачами.
Растущая рыночная проблема
Проблема JavaScript продолжает становиться все больше. Он все еще является одним из самых популярных языков программирования — опросы показывают, что 69% профессиональных разработчиков используют его в значительной степени. Инструменты кодирования искусственного интеллекта облегчали развернуть приложения JavaScript, часто разработчиками, которые мало думают о безопасности. Gartner прогнозирует, что стоимость атак по цепочке поставок будет утроиться от 46 миллиардов долларов в 2023 году до 138 миллиардов долларов к 2031 году. Фирма ожидает, что 85% крупных компаний будут развернуть инструменты безопасности цепочки поставок к 2028 году.
Спрос на предприятие
Компании выступают за доступ к предложению JavaScript от Chainguard. Некоторые отложили разработку, пока они ждут. Некоторые клиенты, как сообщается, приостановили работу по разработке, пока они не смогут внедрить более безопасное управление зависимостями.
«Мы ожидаем, что этот список вырастет немного позже на этой неделе, потому что все спрашивали нас об этом», — сказал Донахью. Некоторые ранние клиенты «так обеспокоены этим, они говорят, что мы тянем к вилке, пока не сможем получить что -то подобное».
Переезд Донахью в Чайгуард был мотивирован тем, что он называет «незаконченным бизнесом» из своего времени в Cloudflare. «На сетевом уровне или на уровне веб -запросов есть так много всего, потому что вы можете заблокировать атаку, но злоумышленник найдет это способ обойти его, и если вы используете уязвимую библиотеку, это игра окончена», — сказал он. «Это просто гонка, которую мы не могли победить».
В Chainguard Донахью сказал, что он видит возможность «защитить компании изнутри. Я люблю создавать продукты безопасности для разработчиков. Это своего рода перекресток, где я работаю с CTO, я работаю с ОГО, и если вы можете по сути удовлетворить их обоих, мы находимся в действительно привилегированном положении, чтобы трансформировать рынок».
«Дело в безопасности в том, что вы становитесь надежным продавцом, и люди хотят с вами делать больше», — сказал Донахью. «Мы установили эту невероятную добрую волю и доверие с нашими клиентами».
Для разработчиков Chainguard позиционирует услугу как повышение производительности, а не бремя безопасности. Библиотеки интегрируются с существующими управляющими артефактами и рабочими процессами разработки, не требуя изменений в том, как приложения создаются и развернуты.
«Поле для разработчиков — это игра производительности для них», — объяснил Донахью. «Им не нужно беспокоиться о том, откуда берутся библиотеки, если они получают их от нас. И тогда команды безопасности счастливы, потому что они знают, что это надежный источник».
Заключится закрытая бета -версия с первоначальным набором широко используемых библиотек JavaScript, с расширением покрытия на основе отзывов и спроса клиентов.
Trending Stories youtube.com/thenewstack Tech движется быстро, не пропустите эпизод. Подпишитесь на наш канал YouTube, чтобы транслировать все наши подкасты, интервью, демонстрации и многое другое. Группа подпишитесь с эскизом. Дэррил К. Тафт охватывает DevOps, инструменты разработки программного обеспечения и проблемы, связанные с разработчиком из своего офиса в районе Балтимора. Он имеет более чем 25 -летний опыт работы в бизнесе и всегда ищет следующий совок. Он работал … читайте больше от Дэррила К. Тафта
