軟體包分析項目實時檢查開源倉庫中的包

開源安全基金會（OpenSSF）發布了一個新工具的測試版，它可以對發布到著名開源倉庫的所有軟體包進行動態分析。軟體包分析項目試圖通過識別任何惡意行為並警告用戶來保護開源軟體包，目的是增強對開源軟體的信任並加強軟體供應鏈的安全性。

OpenSSF 說：「軟體包分析項目旨在了解開源倉庫上可用軟體包的行為和功能：它們訪問哪些文件，它們連接到哪些地址，以及它們運行哪些命令？」

該基金會的 Caleb Brown 和 David A. Wheeler 補充說：「該項目還跟蹤軟體包隨時間的行為變化，以確定以前安全的軟體何時開始出現可疑行為。」

該程序在為期一個月的測試運行中發現了 200 多個發布到 PyPI 和 NPM 的惡意軟體包，其中大多數流氓庫依賴於依賴混淆和仿冒攻擊。谷歌是 OpenSSF 的成員，它支持軟體包分析計劃，強調「在發布軟體包之前審查軟體包以確保用戶安全」的重要性。

去年，該公司的開源安全團隊提出了軟體工件的供應鏈級別（SLSA）架構，以驗證軟體包的完整性並防止未經授權的更改。這一發展是在開源生態系統越來越多地被武器化，用加密貨幣礦工和數據竊賊等惡意軟體攻擊開發者的情況下進行的。

via: https://www.opensourceforu.com/2022/05/package-analysis-examines-packages-in-open-source-repositories-in-real-time/

作者：Laveesh Kocher 選題：lkxed 譯者：geekpi 校對：wxy

本文由 LCTT 原創編譯，Linux中國 榮譽推出

本文轉載來自 Linux 中國: https://github.com/Linux-CN/archive