Đây là một công cụ mới quét các kho mã nguồn mở để tìm các gói độc hại

Các gói độc hại trong kho lưu trữ mã nguồn mở

Tổ chức Bảo mật Nguồn Mở (OpenSSF) đã công bố bản phát hành nguyên mẫu ban đầu của một công cụ mới có khả năng thực hiện phân tích động của tất cả các gói được tải lên các kho lưu trữ nguồn mở phổ biến.

Được gọi là dự án Phân tích gói, sáng kiến ​​này nhằm mục đích bảo mật các gói nguồn mở bằng cách phát hiện và cảnh báo người dùng về bất kỳ hành vi độc hại nào với mục tiêu tăng cường bảo mật của và tăng cường sự tin tưởng vào phần mềm nguồn mở.

“Dự án Phân tích gói tìm cách hiểu hành vi và khả năng của các gói có sẵn trên các kho mở: tệp nào chúng truy cập, địa chỉ nào chúng kết nối và chúng chạy lệnh nào?”, OpenSSF cho biết.

“Dự án cũng theo dõi những thay đổi trong cách các gói hoạt động theo thời gian, để xác định thời điểm phần mềm an toàn trước đây bắt đầu hoạt động đáng ngờ”, Caleb Brown và David A. Wheeler của quỹ cho biết thêm.

Trong quá trình chạy thử nghiệm kéo dài một tháng, công cụ này đã xác định hơn 200 gói độc hại được tải lên PyPI và NPM, với phần lớn các thư viện giả mạo tận dụng sự nhầm lẫn phụ thuộc và các cuộc tấn công đánh máy.

Google, một thành viên của OpenSSF, cũng đã tập hợp sự hỗ trợ của mình đằng sau dự án Phân tích gói, đồng thời nhấn mạnh sự cần thiết của việc “kiểm tra các gói được xuất bản để giữ an toàn cho người dùng.”

Xem tiếp:   FBI, CISA Cảnh báo về việc tin tặc Nga khai thác MFA và lỗi PrintNightmare

Năm ngoái, Nhóm Bảo mật Nguồn Mở của gã khổng lồ công nghệ đã đưa ra một khung mới được gọi là Cấp chuỗi cung ứng cho Phần mềm Tạo tác (SLSA) để đảm bảo tính toàn vẹn của các gói phần mềm và ngăn chặn các sửa đổi trái phép.

Sự phát triển này diễn ra khi hệ sinh thái mã nguồn mở ngày càng được vũ khí hóa để nhắm mục tiêu đến các nhà phát triển với nhiều loại , bao gồm cả những kẻ khai thác tiền điện tử và những kẻ đánh cắp thông tin.

.

Related Posts

Check Also

Lỗ hổng BMC nghiêm trọng ‘sự cố’ ảnh hưởng đến máy chủ QCT được sử dụng trong trung tâm dữ liệu

Theo một nghiên cứu mới được công bố hôm nay, các máy chủ của Công …