/https://www.html.it/app/uploads/2020/10/xy9nqq0.jpg "GitHub sospende Dependabot, troppi falsi positivi")
La piattaforma per il code hosting GitHub ha deciso di sospendere temporaneamente il servizio Dependabot che ha il compito di analizzare le dipendenze dei progetti Open Source alla ricerca di eventuali malware e minacce di altro tipo.
I responsabili della piattaforma hanno spiegato tale iniziativa facendo riferimento all'eccessiva produzione di falsi positivi, le segnalazioni associate a questi ultimi avrebbe impattato negativamente sul lavoro di diversi team.
Cos'è Dependabot
Dependabot è stato creato sulla base dell'esigenza di controllare automaticamente le dipendenze e il loro contenuto, queste ultime sono nella maggior parte dei casi delle librerie di terze parti e non sempre gli sviluppatori hanno la possibilità di controllare ogni singolo file scaricato.
A ciò si aggiunga che strumenti come NPM effettuano il download automatico delle dipendenze e dei loro aggiornamenti senza un intervento diretto da parte degli sviluppatori.
Questi package sono poi posizionate in sottocartelle come per esempio node_modules che vengono completamente separate dal resto dei file.
Il risultato di questo comportamento è spesso l'accumulo di pacchetti buggati se non, nelle ipotesi peggiori, di dipendenze obsolete che non vengono più implementate da tempo dai loro autori.
Costruito intorno al GitHub Advisory Database, Dependabot avrebbe dovuto aiutare gli sviluppatori ad evitare questo tipo di situazioni, limitando la presenza di package che gli utenti malintenzionati avrebbero potuto sfruttare per iniettare codice dannoso.
Il problema della sostituzione dei package
Fin qui tutto bene se non fosse per il fatto che Dependabot non sarebbe riuscito a contenere il numero di falsi positivi. Stando a quanto spiegato dai portavoce di GitHub ciò dipenderebbe dal modo in cui il sistema cerca di rilevare gli attacchi basati sulla sostituzione dei package.
Questo tipo di tecnica viene perpetrata pubblicando dei pacchetti che hanno lo stesso nome di quelli utilizzati dagli sviluppatori, nel caso specifico Dependabot non sarebbe stato in grado di distinguere tra i package sicuri e quelli insicuri, determinando i falsi positivi.
Fino a quando le problematiche emerse non verranno risolte l'unica soluzione disponibile consiste in un monitoraggio costante delle dipendenze che vengono utilizzate.
/https://www.html.it/app/uploads/2024/04/MLOps.png)
/https://www.html.it/app/uploads/2024/04/flox.png)
/https://www.html.it/app/uploads/2024/04/css.png)
/https://www.html.it/app/uploads/2024/04/cms.png)