首页 > 安全 > 正文

软件包分析动态分析在开源存储库中包装包

最后更新 :2022.05.03

开源安全基金会(OPENSSF)正在研究一种工具,以对上传到流行的开源存储库的软件包进行动态分析。

开源安全基金会(OPENSSF)宣布发布发布。新工具的第一版,称为包装分析,以对上传到流行的开源存储库的软件包进行动态分析。

今天,我们很高兴地宣布&nbsp'软件包分析项目的初始原型版本,这是一个openssf项目,旨在应对在流行的开源存储库中识别恶意软件包的挑战。阅读OpenSSF发布的公告。包分析项目旨在了解开源存储库中可用包装的行为和功能:它们可以访问哪些文件,连接到哪些地址以及它们运行的命令?,

该项目允许该项目研究人员确定不仅仅是2; 200 通过分析其行为上传到PYPI和NPM的恶意软件包。

该项目还跟踪包装行为的动态变化,随着时间的推移。我们发现的大多数恶意软件包都是依赖性混乱和打字攻击。

我们发现的包装通常包含一个简单的脚本,该脚本在安装过程中运行,并致电回家,并提供有关主机的一些详细信息。这些软件包很可能是安全研究人员寻找错误赏金的工作,因为大多数人没有渗透有意义的数据,除了机器的名称或用户名,并且他们没有试图掩饰其行为。总结公告。尽管如此,这些包裹中的任何一个都可以做更多的事情来伤害安装它们的不幸受害者,因此软件包分析提供了对这类攻击的对策。

当前,OpenSSF仅发布了初始的原型版本

的包装分析项目
请投票给安全事务作为最佳欧洲网络安全博客作者颁奖2022年的获奖者投票
在“弱者最佳个人(非商业)安全博客和Tech Whiz最佳技术博客”部分中为我投票。提名,请访问: https://docs.google.com/forms/forms/d/e/1faipqlsfxxr tocimz9qm9iipumqic-iomqic-iom-iom-npqmosfqmosfznjxrbqryjgcrbqryjgcow/view/view/view/view/view/view/view/view 123] 123]

- END -

看更多