Software erkennt gefährliche Open-Source-Pakete

Das IT-Unternehmen Checkmarx hat das Tool Supply Chain Security vorgestellt. Das Programm zielt aber nicht auf die physische Lieferkette eines Produktionsunternehmens ab, sondern überwacht im Zusammenspiel mit Checkmarx Software Composition Analysis (SCA) den Health- und Security-Status von Open-Source-Projekten mit Blick auf mögliche Anomalien.

Viele IT-Entwickler verwenden Open Source-Module für ihre Anwendungen. Malicious Code in solchen Bibliotheken kann weltweiten Schaden anrichten. (Bild: ©enzozo/stock.adobe.com)
Viele IT-Entwickler verwenden Open Source-Module für ihre Anwendungen. Malicious Code in solchen Bibliotheken kann weltweiten Schaden anrichten. (Bild: ©enzozo/stock.adobe.com)

Es analysiert die Reputation der beteiligten Open-Source-Entwickler und überprüft das Verhalten der Pakete, indem diese in einer isolierten Umgebung ausgeführt werden. Die Lösung dürfte als Antwort auf Angriffsmuster von kriminellen Hackern zu verstehen sein, Schadcode in ansonsten vertrauenswürdigen Open-Source-Projekte einzuschleusen.