Một công cụ dòng lệnh mới có tên vet đã xuất hiện để giải quyết thực tế rủi ro khi chuyển các script từ xa trực tiếp đến bash để cài đặt phần mềm. Công cụ này hứa hẹn sẽ thêm các lớp bảo mật bằng cách tải script về máy cục bộ, hiển thị các thay đổi thông qua so sánh diff, chạy phân tích shellcheck, và yêu cầu sự chấp thuận của người dùng trước khi thực thi.
Tính năng bảo mật của Vet Tool:
- Tải xuống các script từ xa về vị trí tạm thời trước khi thực thi
- Hiển thị so sánh diff của các thay đổi script từ những lần chạy trước đó
- Tích hợp với shellcheck để phân tích tĩnh và phát hiện lỗi
- Yêu cầu sự chấp thuận rõ ràng từ người dùng trước khi thực thi script
- Chạy hoàn toàn offline mà không gửi dữ liệu cho bên thứ ba
Cộng đồng đặt câu hỏi về hiệu quả thực tế của công cụ
Cộng đồng nhà phát triển đã đặt ra những câu hỏi quan trọng về lợi ích bảo mật thực tế của vet. Mối quan tâm cốt lõi tập trung vào việc liệu công cụ này có thực sự cải thiện bảo mật cho các tình huống cài đặt thông thường hay không. Hầu hết các trình cài đặt phần mềm đều tải các file nhị phân từ cùng các máy chủ HTTPS mà không có thêm xác minh nào ngoài những gì script gốc cung cấp. Điều này có nghĩa là trong khi vet có thể phát hiện các thay đổi trong chính script cài đặt, nó không thể xác minh tính toàn vẹn của phần mềm thực tế đang được cài đặt.
Người tạo ra công cụ này thừa nhận hạn chế này, giải thích rằng vet tập trung cụ thể vào việc bảo mật script cài đặt thay vì toàn bộ chuỗi cung ứng phần mềm. Mục tiêu là ngăn chặn các sửa đổi độc hại đối với các trình cài đặt có thể bỏ qua việc xác minh checksum hoặc chuyển hướng tải xuống đến các nguồn có hại.
Các cách thức tiềm năng để vượt qua và ý tưởng cải tiến
Các chuyên gia bảo mật trong cộng đồng đã xác định những cách thức tiềm năng để vượt qua các biện pháp bảo vệ của vet. Các tác nhân độc hại có thể vô hiệu hóa các cảnh báo shellcheck bằng cách sử dụng các comment pragma, làm giảm khả năng phát hiện các mẫu mã đáng ngờ của công cụ. Điều này làm nổi bật thách thức vốn có khi chỉ dựa vào các công cụ phân tích tĩnh để xác thực bảo mật.
Một số thành viên trong cộng đồng đã đề xuất tích hợp phân tích được hỗ trợ bởi AI để xác định các mối quan tâm bảo mật ngoài những gì công cụ linting truyền thống có thể phát hiện. Tuy nhiên, nhà phát triển của công cụ nhấn mạnh tầm quan trọng của việc phân tích xác định và ngoại tuyến để tránh rủi ro về quyền riêng tư và đảm bảo kết quả nhất quán.
Hai rào cản lớn nhất đối với một công cụ bảo mật như thế này là tính không xác định của LLM và rủi ro quyền riêng tư lớn khi gửi mã đến API của bên thứ ba.
Phương thức cài đặt:
curl -sL https://getvet.sh | sh
Lưu ý: Các nhà phát triển thừa nhận sự mỉa mai khi sử dụng cùng một mô hình cài đặt mà công cụ của họ nhằm mục đích bảo mật
Mối quan tâm về trải nghiệm người dùng và việc áp dụng
Bất chấp các cuộc thảo luận về bảo mật, một số người dùng đã bày tỏ sự nhiệt tình với khái niệm này trong khi yêu cầu tài liệu tốt hơn. Các câu hỏi về giao diện người dùng và minh họa quy trình làm việc của công cụ cho thấy rằng các ví dụ rõ ràng hơn có thể giúp việc áp dụng. Người dùng muốn hiểu chính xác cách vet hiển thị các vấn đề shellcheck và liệu nó có mở trình soạn thảo hay pager để xem xét script hay không.
Công cụ này đại diện cho một bước tiến hướng tới các thực hành bảo mật có ý thức hơn trong việc cài đặt phần mềm, ngay cả khi nó không giải quyết được mọi khía cạnh của vấn đề bảo mật chuỗi cung ứng. Giá trị của nó nằm ở việc làm cho người dùng nhận thức rõ hơn về những script họ đang thực thi và khuyến khích xem xét các quy trình cài đặt.
Tham khảo: vet