Puppet Forge开始对模组进行安全扫描

IT自动化工具供应商Puppet，宣布在其模组目录Puppet Forge中，添加恶意程式扫描功能，以进一步提高模组的安全性。新的安全扫描功能可以检查上传模组中，所包含的恶意程式码，以及存在潜在安全疑虑的内容。

官方提到，软件供应链攻击事件层出不穷，过去认为开源程式码会受到更多的检视，但随着NPM、PyPI或RubyGems等点对点软件套件储存库兴起，这种假设已经不存在。虽然到目前为止Puppet生态系，尚未因为Forge模组被注入恶意程式码而受到攻击，但是官方未雨绸缪，在过去几个月打造了模组扫描框架。

对Puppet来说，在打造软件扫描框架之前，要先定义所谓安全的Puppet模组，官方提到，这就像是定义杂草一样，完全和上下文相关联，像是下载tarball并且执行壳层命令，是不少Tomcat模组的运作方式，因此无法排除这种行为，但是可以透过辨识档案资源，使用全域可写入权限、广开防火墙规则，或是已知不安全的Apache配置，来找出可疑的档案，并标记出已知恶意软件档案或URL加到模组中的时间。

Puppet Forge安全扫描框架延伸自原本就已经存在的模组自动品质评分系统。由于官方将原本以Jenkins工作管线实做的品质评分系统，移植到更现代基于容器的工作流程，而使得这个工作流程，也适合用于安全分析系统，只要能够在容器中运作的系统，就可以用到Forge中。

Puppet采用VirusTotal作为Forge安全扫描解决方案，VirusTotal提供上传API，该API虽然不了解Puppet程式码，但是能够解析解压缩模组tarball格式，以及扫描档案内容，找出恶意程式码，官方提到，VirusTotal汇总了70个防毒扫描程式，以及URL封锁名单，因此对于Puppet来说是完整的解决方案。

当模组通过VirusTotal扫描，Puppet会将模组标记为已扫描，一旦发现存在恶意程式码，使用者可以透过连结，连接到VirusTotal页面，查看详细的资讯。Puppet提到，他们期望在年底之前，所有上传的模组，都会经过安全扫描，但是为了避免零日攻击，他们不会对既有的模组进行扫描，用户还是要对自己使用的模组进行评估。

官方强调，这个扫描框架并不能取代用户自己的安全解决方案，开发者仍然有责任审查不受信任的程式码，并且运作自己的安全防护软件，他们仅能确保开发者所使用的Puppet模组，不会带来恶意软件。