Yazılım geliştirme süreçlerinde npm install gibi bağımlılık yöneticileri aracılığıyla eklenen paketler, siber güvenlik için ciddi riskler taşıyor. Makale, bu bağımlılıkların yeterince incelenmeden üretim ortamlarına ulaşmasının, CVE'si olmayan sıfırıncı gün saldırılarına veya tedarik zinciri saldırılarına yol açabileceğini vurguluyor. Mevcut güvenlik araçları ve standart PR iş akışları genellikle bu tür gizli tehditleri gözden kaçırabiliyor, bu da şirketleri savunmasız bırakıyor. Bağımlılık güncellemeleri üzerinde politika denetimi ve denetim izi eksikliği, uyumluluk sorunlarına da neden oluyor.
Westbayberry tarafından geliştirilen araç, bu güvenlik açığını kapatmak için davranışsal tedarik zinciri istihbaratı sunuyor. Araç, CI/CD pipeline'larına entegre olarak, her bağımlılık değişikliğini (özellikle package-lock.json dosyalarındaki) otomatik olarak tarıyor. 26 farklı davranışsal dedektör kullanarak paketlerdeki kötü niyetli kod kalıplarını analiz ediyor ve her pakete bir risk puanı atıyor. Bu puanlama sonucunda paketler için "Geçti", "Uyarı" veya "Engellendi" şeklinde net kararlar veriliyor.
Sistem, GitHub Actions, GitLab CI gibi popüler platformlarla uyumlu çalışıyor ve her çekme isteğine (PR) doğrudan bir yorum olarak kararını iletiyor. Kullanıcılar, risk eşiklerini yapılandırabilir, güvenilir paketleri izin listesine ekleyebilir ve uyarı veya engelleme modları arasında seçim yapabilir. Bu sayede, her bağımlılık güncellemesi ana branch'e birleşmeden önce detaylıca incelenmiş ve onaylanmış oluyor. Ayrıca, tüm taramaların ve kararların kaydedildiği kapsamlı bir denetim izi ve geçmişi sayesinde uyumluluk gereksinimleri de karşılanıyor, böylece ekipler hangi bağımlılığın ne zaman ve kim tarafından onaylandığını kolayca kanıtlayabiliyor.
Yazılım tedarik zinciri saldırılarına karşı bağımlılıkların davranışsal analizi, sıfırıncı gün tehditlerini yakalayarak şirketlerin kritik verilerini korumalarına yardımcı oluyor.