بهروزرسانی Composer دیگر ایمن نیست.
یک حمله زنجیره تأمین به بستههای Laravel‑Lang باعث شد که با اجرای سادهٔ composer update، بدافزارهایی که اطلاعات حساس سرور را میدزدند، نصب شوند. تیم Aikido Security این حمله را شناسایی و نسخههای مخرب را از Packagist حذف کرد، اما پروژههایی که در بازهٔ زمانی حمله بروز رسانی کرده بودند، در معرض خطر بودند. نویسنده راهکارهایی برای محدود کردن بروز رسانی، استفاده از ابزار jack و composer audit و پیگیری اخبار امنیتی ارائه داد.
چرا مهمه؟
این حمله نشان داد که بروز رسانیهای عادی Composer میتوانند منبع ورود بدافزار به سرورهای شما شوند. تمام توسعهدهندگانی که از بستههای PHP بهخصوص Laravel‑Lang استفاده میکنند، تحت تأثیر این خطر قرار گرفتند. خواننده باید این خبر را جدی بگیرد تا با اعمال روشهای ایمنسازی بروز رسانی، از سرقت کلیدها و اطلاعات حساس جلوگیری کند.
به درد کی میخوره؟
• توسعهدهندگان PHP / Laravel • تیمهای DevOps و عملیات سرور • مدیران امنیت نرمافزار • مسئولین بستهبندی و نگهداری پروژههای متن باز
تو عمل چی کار کنیم؟
خوانندگان میتوانند با اعمال چند قدم ساده امنیتی، ریسک حملات زنجیره تأمین را کاهش دهند: بروز رسانی را داخل Docker اجرا کنید، پس از هر بروز رسانی از ابزار jack برای قفل کردن نسخههای نصب شده استفاده کنید، همیشه composer audit را پیش و پس از بروز رسانی اجرا کنید و قبل از افزودن بسته جدید، ضرورت آن را ارزیابی کنید. همچنین با دنبال کردن حسابهای امنیتی Laravel در شبکههای اجتماعی، از تهدیدات جدید زودتر باخبر میشوند.
نظر BlueIT News
Blue IT News توصیه میکند که هیچوقت بهصورت خودکار و بدون بررسی، composer update را اجرا نکنید؛ هر بسته یک رابطهٔ اعتمادی است و باید پیش از افزودن یا ارتقاء، ریسک آن را بسنجید.