Composer und die Vertrauensfrage
Kommentare

Der niederländische Software-Berater und -Entwickler Joshua Thijssen wettert in seinem jüngsten Blog-Artikel darüber, dass viele Entwickler sich von der Bequemlichkeit des Abhängigkeiten-Managers Composer

Der niederländische Software-Berater und -Entwickler Joshua Thijssen wettert in seinem jüngsten Blog-Artikel darüber, dass viele Entwickler sich von der Bequemlichkeit des Abhängigkeiten-Managers Composer blenden lassen und übersehen, wie unsicher das Tool eigentlich ist. Ist Composer einmal installiert, bezieht er all seine Abhängigkeiten automatisch von packagist.org und Bibliotheken werden wie von Zauberhand eingebunden.

Das mag alles sehr kommod sein, doch übersehen dabei viele Nutzer die Risiken: Was ist, wenn durch eine unbemerkte Manipulation auf einmal alle Pakete von packagits.org kämen? Auf einmal steht Hackern Tür und Tor offen, Schadcode in unser System zu schleusen. Und die Prüfsummen, über die beim Composer Dateien auf ihre Integrität geprüft werden, lassen sich fingieren. Gewiefte Einbrecher haben leichtes Spiel. In anderen Paketmanagern hingegen werden Pakete durch ihre Entwickler signiert. Solche Signaturen sind nur sehr schwer zu fälschen und im Falle eines Betruges schlagen sofort die Alarmglocken.

Verschlüsselte SSL-Verbindungen würden das Problem nicht beheben, da nach wie vor Cross-Site-Scripting und gefälschte SSL-Zertifikate falsch-grünes Licht geben. Doch wie bringen wir mehr Gewissheit in den Composer, um ihn nicht im Namen der Sicherheit ganz aufgeben zu müssen?

Die Lösung wäre laut Thijssen, Composer mit einem Signatur-System zu versehen. Letzteres würde aber erst dann zum Standard-Portfolio des Dependency-Managers gemacht werden, wenn er im Repertoire bestehender Distributionspfade wie PHP, PEAR oder anderen aufgenommen würde. Dort könnte er vorhandene Signatur-Systeme nutzen.

Des Weiteren wettert Thijssen über die Auto-Update-Funktion und Bad Practice bei Releases, wo es nur noch um das schnelle Liefern neuer Features geht und Sicherheits- und Stabilitäts-Updates später nachgeliefert werden, nur weil es dank Continuous Integration scheinbar einfach geworden ist, Updates nachzuliefern. Mehr dazu lest Ihr in Thijssens Blog.

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -