Des bibliothèques JavaScript anti-malware chez Chainguard

Suite aux récentes attaques de logiciels malveillants sur les registres NPM, Chainguard explique avoir remédié aux failles de sécurité dans l'écosystème JavaScript et ses bibliothèques de code.

Le fournisseur de solutions de sécurité pour le cycle de développement Chainguard a dévoilé récemment Libraries for JavaScript. D’après sa présentation, ces bibliothèques comportent un ensemble de versions fiables de milliers de dépendances JavaScript courantes résistantes aux logiciels malveillants, construites à partir du code source sur l'infrastructure SLSA L2 (Supply-chain Levels for Software Artifacts). Selon la société, cette construction sécurisée de chaque bibliothèque et de ses dépendances à partir du code source garantit aux équipes de sécurité et d'ingénierie qu'aucun logiciel malveillant n'a été inséré lors de la construction ou de la distribution des bibliothèques dans l'écosystème JavaScript, comblant ainsi une lacune importante dans le paysage des menaces. D’après le fournisseur, elles offrent une protection pour l'un des maillons les plus critiques et les plus vulnérables du cycle de développement logiciel : les dépendances linguistiques sur lesquelles s'appuient les développeurs pour créer et déployer des applications.

Chainguard rappelle que ce risque dans l'écosystème JavaScript n’est pas théorique. En septembre, une attaque supply chain sophistiquée compromettant le système de package Nx build a exposé plusieurs milliers de données comprenant des identifiants cloud et des tokens npm. « Ces attaques malveillantes contre les registres JavaScript comme NPM, que les développeurs téléchargent des milliards de fois par semaine, montrent le risque lié à des mécanismes traditionnels pour l'utilisation des bibliothèques de langage », a déclaré l’entreprise. De plus, le boom du développement JavaScript alimenté par l'IA offre davantage d'opportunités aux pirates. « Libraries for JavaScript s'intègre à des gestionnaires d'artefacts comme JFrog Artifactory et Sonatype Nexus afin de permettre aux équipes chargées de la sécurité des applications de combler les failles de sécurité dans l'écosystème JavaScript », a ajouté Chainguard.

Dans ses efforts permanents de lutte contre l'injection de logiciels malveillants à différentes étapes de construction et de distribution de logiciel open source, Chainguard a fait valoir qu'elle s'efforçait de créer chaque dépendance pour chaque bibliothèque JavaScript à partir de la source. Le fournisseur a également développé des offres pour Java et Python.