npm install-এর আগে প্যাকেজ যাচাই করবে নতুন টুল, সাইবার হামলা কমবে
npm install চালানোর আগে প্যাকেজের প্রোভেন্যান্স যাচাই করে নতুন একটি টুল। SBOM রেজল্ভের পর নেয়া হলেও তা কোনো প্যাকেজ ইনস্টল করা উচিত ছিল কিনা তা প্রমাণ করতে পারে না। dev.to AI-তে প্রকাশিত একটি পোস্টে এই পদ্ধতি এবং একটি Python স্ক্রিপ্টের বর্ণনা দেয়া হয়েছে।
npm install চালানোর আগে প্যাকেজের প্রোভেন্যান্স যাচাই করে নতুন একটি টুল। SBOM রেজল্ভের পর নেয়া হলেও তা কোনো প্যাকেজ ইনস্টল করা উচিত ছিল কিনা তা প্রমাণ করতে পারে না। dev.to AI-তে প্রকাশিত একটি পোস্টে এই পদ্ধতি এবং একটি Python স্ক্রিপ্টের বর্ণনা দেয়া হয়েছে।
npm install চালানোর আগেই প্যাকেজটি বিশ্বস্ত কিনা তা যাচাই করার একটি নতুন পদ্ধতি চালু হয়েছে। dev.to AI-তে প্রকাশিত এক নিবন্ধে এই প্রি-ইনস্টল সাপ্লাই-চেইন গেটের বর্ণনা দেয়া হয়েছে। এই গেট প্রতিটি প্যাকেজের জন্য ALLOW বা DENY রিটার্ন করে। এটি প্যাকেজের প্রোভেন্যান্স বা উৎসের ওপর ভিত্তি করে সিদ্ধান্ত নেয়।
লেখক জানিয়েছেন, একটি SBOM বা সফটওয়্যার বিল অফ মেটেরিয়ালস রেজল্ভের পর নেয়া হলেও সেই প্রশ্নের উত্তর দিতে পারে না। SBOM শুধু বলে দেয় কী ইনস্টল করা হয়েছে। কিন্তু এটি কখনোই প্রমাণ করতে পারে না যে কোনো প্যাকেজটি আসলে ইনস্টল করা উচিত ছিল কিনা। এই গেটটি সেই শূন্যস্থান পূরণ করে।
পোস্টটিতে একটি Python স্ক্রিপ্ট supply_chain_gate.py উপস্থাপন করা হয়েছে। এই স্ক্রিপ্টটি AI এজেন্টের প্রস্তাবিত প্রতিটি প্যাকেজের নাম একটি ভাউচড স্ন্যাপশট বা জনপ্রিয় বেসলাইনের সাথে মিলিয়ে দেখে। একইসাথে এটি .npmrc রেজিস্ট্রি বিশ্বস্ত কিনা তা যাচাই করে। যদি প্যাকেজটি অবিশ্বস্ত হয় তবে স্ক্রিপ্টটি DENY রিটার্ন করে এবং এক্সিট কোড 1 সহ প্রস্থান করে।
লেখক একটি অ্যাটাক ম্যানিফেস্টের উদাহরণ দিয়েছেন যেখানে supply_chain_gate.py 2টি DENY রিটার্ন করেছে এবং এক্সিট 1 করেছে। এর মানে হলো, AI এজেন্টের প্রস্তাবিত প্যাকেজগুলোর মধ্যে দুটি অবিশ্বস্ত ছিল এবং ইনস্টলেশন বন্ধ করে দেয়া হয়েছে। এই পদ্ধতি ডিপেন্ডেন্সি কনফিউশন বা টাইপস্কোয়াটিং অ্যাটাক প্রতিরোধে কার্যকর হতে পারে।
বাংলাদেশের ডেভেলপার ও ফ্রিল্যান্সারদের জন্য এই খবর গুরুত্বপূর্ণ। দেশে npm প্যাকেজ ব্যবহারকারীর সংখ্যা বাড়ছে। অনেক স্টার্টআপ ও সফটওয়্যার কোম্পানি ওপেন সোর্স প্যাকেজের ওপর নির্ভর করে। একটি ম্যালিশিয়াস প্যাকেজ পুরো প্রজেক্টকে বিপদে ফেলতে পারে। এই গেটটি ব্যবহার করে তারা ইনস্টলের আগেই প্যাকেজের নিরাপত্তা নিশ্চিত করতে পারবে।
ভবিষ্যতে এই ধরনের প্রি-ইনস্টল গেট আরও বেশি জনপ্রিয় হবে বলে ধারণা করা হচ্ছে। বিশেষ করে AI এজেন্টের যুগে যেখানে মেশিন নিজেই প্যাকেজ সুপারিশ করে, সেখানে মানুষের চেয়ে মেশিনের ত্রুটির সম্ভাবনা বেশি। এই গেটটি সেই ত্রুটি আগেই ধরে ফেলতে সাহায্য করবে।
আরও পড়ুন
এই সংবাদটি আন্তর্জাতিক সূত্রের তথ্য অবলম্বনে AI-সহায়তায় বাংলায় উপস্থাপন ও বাংলাদেশের প্রেক্ষাপটে সম্পাদিত। মূল তথ্যের জন্য নিচের সূত্র দেখুন।
মূল প্রতিবেদন: dev.to AI
সোর্স দেখুন ↗মন্তব্য০
লোড হচ্ছে...