Supply chain necromancy
Az észt Itresit kutatói a JitPack build-szolgáltatás köré épülő ellátási lánc kockázatok egy különös aspektusát vizsgálták, ahol a nyílt forrású Java/Maven függőségek révén támadási felületet lehet létrehozni. A JitPack egy közösségi forrásokból közvetlenül csomagokat építő rendszer, amely a koordináták alapján tölt be komponenseket. Ennek a dinamikus függőség-feloldó mechanizmusnak a sötét oldala az, hogy régi, nem használt Maven-névterek újjáélesztésével rosszindulatú kód is bekerülhet a fejlesztésekbe, ha egy támadó új, káros implementációt helyez el ugyanolyan névvel egy publikus GitHub-projektben.
A kutatók figyelmeztetnek arra, hogy az ellátási lánc szempontjából nemcsak a csomagokban lévő ismert sebezhetőségek jelenthetnek problémát, hanem a függőségek azonosítóinak újbóli felhasználása és így a teljes forrásigénybe kerülő build folyamatba való beékelődés is, ami az automatikus build-rendszereken keresztül terjedő injekciókhoz vezethet. Ezt a jelenséget a szerző supply chain necromancy-ként, vagyis ellátási lánc feltámasztásának nevezi, olyan nem kívánt holt komponensek feltámasztását, amelyek már nem élnek aktív fejlesztés alatt, de mégis képesek befolyásolni a végső alkalmazást. Ennek a kockázatnak a felismerése és monitorozása különösen fontos, mert a modern fejlesztési környezetekben a JitPack-szerű szolgáltatások egyre inkább beépülnek az automatizált CI/CD-láncokba, és ilyen módon a biztonsági ellenőrzési pontok hiánya súlyos következményekkel járhat a szoftverellátási lánc integritására.