Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.

Razlike

Slijede razlike između dviju inačica stranice.

Poveznica na ovu usporedbu

Starije izmjene na obje strane Starija izmjena
Novija izmjena 		Starija izmjena
racfor_wiki:seminari2024:malware_u_npm_ekosustavu [2025/01/26 12:50]
Babić Adrian [Mjere zaštite i preporuke za sigurnost] 		racfor_wiki:seminari2024:malware_u_npm_ekosustavu [2025/01/26 19:46] (trenutno)
Babić Adrian [Video prezentacija]
Redak 3: Redak 3:
 ===== Sažetak ===== ===== Sažetak =====
  
 +Seminar se bavi analizom sigurnosnih prijetnji u npm ekosustavu. Npm, kao ključna platforma za upravljanje JavaScript paketima, predstavlja temeljni alat modernog razvoja softvera, ali istovremeno postaje i meta zlonamjernih napada. Seminar pruža pregled npm ekosustava, vrsta malwarea prisutnih u ekosustavu te analizira stvarne primjere napada koji su ugrozili korisnike i organizacije. Osim analize, obrađuju se metode i alati računalne forenzike korišteni u identificiranju prijetnji unutar paketa, dok se u završnom dijelu daju preporuke za bolju zaštitu i sigurnost. 
  
  
Redak 105: Redak 106:
 Još jedna mjera opreza je da se dobro provjeri vjerodostojnost paketa prije nego se odluči na njegovu instalaciju. To uključuje analizu povijesti autora i broj preuzimanja. Ako se žele poduzeti stroge mjere, dobro je napraviti pregled dokumentacije i izvornog koda, pogotovo za manje poznate pakete. Još jedna mjera opreza je da se dobro provjeri vjerodostojnost paketa prije nego se odluči na njegovu instalaciju. To uključuje analizu povijesti autora i broj preuzimanja. Ako se žele poduzeti stroge mjere, dobro je napraviti pregled dokumentacije i izvornog koda, pogotovo za manje poznate pakete.
  
-Jedna od bitnijih mjera opreza je zaključavanje verzija u package-lock.json datoteci. Naime, osim što se u toj datoteci specificiraju verzije korištenih paketa, moguće je postaviti opciju da se uvijek preuzima najnovija verzija paketa. To korisnici vrlo često i rade. To nije najsigurnije jer ako se u novoj verziji nekog paketa dogodio supply chain napad, svi koji imaju automatsko preuzimanje najnovije verzije paketa automatski će postati žrtve. Stoga je preporučeno zaključavati verzije te upariti sa sigurnosim alatom koji će provjeravati ranjivosti verzija instaliranih paketa, poput ranije spomenutog Snyka ili Dependabota.+Jedna od bitnijih mjera opreza je zaključavanje verzija u package-lock.json datoteci. Naime, osim što se u toj datoteci specificiraju verzije korištenih paketa, moguće je postaviti opciju da se uvijek preuzima najnovija verzija paketa. To korisnici vrlo često i rade. To nije najsigurnije jer ako se u novoj verziji nekog paketa dogodio supply chain napad, svi koji imaju automatsko preuzimanje najnovije verzije paketa automatski će postati žrtve. Stoga je preporučeno zaključavati verzije te to popratiti sa sigurnosnim alatom koji će provjeravati ranjivosti verzija instaliranih paketa, poput ranije spomenutog Snyka ili Dependabota.
  
  
 ===== Zaključak ===== ===== Zaključak =====
  
 +Sigurnost u softverskim ekosustavima poput npm-a ključan je izazov u modernom razvoju aplikacija. Npm ekosustav donosi brzo i efikasno dijeljenje koda na globalnoj razini. No, mana toga je što ujedno može biti i točka nesigurnosti, ako se ne koristi s oprezom. Istraživanje je pokazalo da zlonamjerni napadi u npm ekosustavu, poput supply chain napada i typo-squattinga, mogu imati ozbiljne posljedice i to na velik broj korisnika, no korištenje prikladnih alata i sigurnosnih praksi može značajno smanjiti rizike. Kroz edukaciju, implementaciju sigurnosnih alata i praćenje najboljih praksi moguće je unaprijediti sigurnost i povjerenje u ovaj važan ekosustav. Konačno, računalna forenzika ostaje neizostavan alat u borbi pri otkrivanju sigurnosnih prijetnji te je pogotovo primjenjiva u kontekstu malwarea u npm ekosustavu.
  
 +
 +===== Video prezentacija =====
 +
 +[[https://ferhr-my.sharepoint.com/:v:/g/personal/ab53014_fer_hr/EeXxGCkLfJVBoRG9LDQE1hUBUxfgH2OUY6m345d5OOlijQ?e=Pkfe0I&nav=eyJyZWZlcnJhbEluZm8iOnsicmVmZXJyYWxBcHAiOiJTdHJlYW1XZWJBcHAiLCJyZWZlcnJhbFZpZXciOiJTaGFyZURpYWxvZy1MaW5rIiwicmVmZXJyYWxBcHBQbGF0Zm9ybSI6IldlYiIsInJlZmVycmFsTW9kZSI6InZpZXcifX0%3D|Video prezentacija]]
 ===== Literatura ===== ===== Literatura =====
  
 [1] [[https://docs.npmjs.com/about-npm|Npm dokumentacija]] [1] [[https://docs.npmjs.com/about-npm|Npm dokumentacija]]
  
-[2] [[https://www.truesec.com/hub/blog/uaparser-js-npm-package-supply-chain-attack-impact-and-response|TruesecSupply chain napad na up-parser-js paket]]+[2] [[https://www.truesec.com/hub/blog/uaparser-js-npm-package-supply-chain-attack-impact-and-response|Sebastian Olsson"UAParser.js npm Package Supply Chain Attack: Impact and Response", October 24th, 2021, Truesec]]
  
 [3] [[https://github.com/faisalman/ua-parser-js/issues/536|Detaljnije o kompromitiranom ua-parser-js paketu]] [3] [[https://github.com/faisalman/ua-parser-js/issues/536|Detaljnije o kompromitiranom ua-parser-js paketu]]
 +
 +[4] [[https://snyk.io/|Alat Snyk]]
 +
 +[5] [[https://github.com/dependabot|Alat Dependabot]]
  
  
racfor_wiki/seminari2024/malware_u_npm_ekosustavu.1737895856.txt.gz · Zadnja izmjena: 2025/01/26 12:50 od Babić Adrian
Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.
CC Attribution-Share Alike 4.0 International
www.chimeric.de Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0