Linux中國
軟體包分析項目實時檢查開源倉庫中的包
開源安全基金會(OpenSSF)發布了一個新工具的測試版,它可以對發布到著名開源倉庫的所有軟體包進行動態分析。軟體包分析項目試圖通過識別任何惡意行為並警告用戶來保護開源軟體包,目的是增強對開源軟體的信任並加強軟體供應鏈的安全性。
OpenSSF 說:「軟體包分析項目旨在了解開源倉庫上可用軟體包的行為和功能:它們訪問哪些文件,它們連接到哪些地址,以及它們運行哪些命令?」
該基金會的 Caleb Brown 和 David A. Wheeler 補充說:「該項目還跟蹤軟體包隨時間的行為變化,以確定以前安全的軟體何時開始出現可疑行為。」
該程序在為期一個月的測試運行中發現了 200 多個發布到 PyPI 和 NPM 的惡意軟體包,其中大多數流氓庫依賴於依賴混淆和仿冒攻擊。谷歌是 OpenSSF 的成員,它支持軟體包分析計劃,強調「在發布軟體包之前審查軟體包以確保用戶安全」的重要性。
去年,該公司的開源安全團隊提出了軟體工件的供應鏈級別(SLSA)架構,以驗證軟體包的完整性並防止未經授權的更改。這一發展是在開源生態系統越來越多地被武器化,用加密貨幣礦工和數據竊賊等惡意軟體攻擊開發者的情況下進行的。
作者:Laveesh Kocher 選題:lkxed 譯者:geekpi 校對:wxy
本文轉載來自 Linux 中國: https://github.com/Linux-CN/archive
對這篇文章感覺如何?
太棒了
0
不錯
0
愛死了
0
不太好
0
感覺很糟
0
More in:Linux中國
如何在 sudo 運行的命令中防止使用參數
允許用戶使用 sudo 運行命令,但不帶命令行參數。
使用 PostgreSQL 建立你的資料庫
PostgreSQL 是最靈活的資料庫之一,並且它是開源的。
如何在 Ubuntu Linux 上更新谷歌 Chrome
你設法在你的 Ubuntu 系統上安裝了谷歌 Chrome 瀏覽器。現在你想知道如何讓瀏覽器保持更新。
打造萬聖節 Linux 桌面
給你的 Linux 桌面做一個像幽靈般的黑暗改造