软件包分析项目实时检查开源仓库中的包 | Linux 中国

admin 2022年5月12日15:20:27评论29 views字数 950阅读3分10秒阅读模式
 
软件包分析项目实时检查开源仓库中的包 | Linux 中国
导读:开源安全基金会(OpenSSF)发布了一个新工具的测试版,它可以对发布到著名开源仓库的所有软件包进行动态分析。
本文字数:776,阅读时长大约:1分钟

LCTT 译者 :geekpi
💎💎💎💎
软件包分析项目实时检查开源仓库中的包 | Linux 中国
翻译: 1682.5 篇

|

贡献: 3120 天
2013-10-25
2022-05-11
https://linux.cn/lctt/geekpi

开源安全基金会(OpenSSF)发布了一个新工具的测试版,它可以对发布到著名开源仓库的所有软件包进行动态分析。软件包分析项目试图通过识别任何恶意行为并警告用户来保护开源软件包,目的是增强对开源软件的信任并加强软件供应链的安全性。

OpenSSF 说:“软件包分析项目旨在了解开源仓库上可用软件包的行为和功能:它们访问哪些文件,它们连接到哪些地址,以及它们运行哪些命令?”

该基金会的 Caleb Brown 和 David A. Wheeler 补充说:“该项目还跟踪软件包随时间的行为变化,以确定以前安全的软件何时开始出现可疑行为。”

该程序在为期一个月的测试运行中发现了 200 多个发布到 PyPI 和 NPM 的恶意软件包,其中大多数流氓库依赖于依赖混淆和仿冒攻击。谷歌是 OpenSSF 的成员,它支持软件包分析计划,强调“在发布软件包之前审查软件包以确保用户安全”的重要性。

去年,该公司的开源安全团队提出了软件工件的供应链级别(SLSA)架构,以验证软件包的完整性并防止未经授权的更改。这一发展是在开源生态系统越来越多地被武器化,用加密货币矿工和数据窃贼等恶意软件攻击开发者的情况下进行的。


via: https://www.opensourceforu.com/2022/05/package-analysis-examines-packages-in-open-source-repositories-in-real-time/

作者:Laveesh Kocher 选题:lkxed 译者:geekpi 校对:wxy

本文由 LCTT 原创编译,Linux中国 荣誉推出

软件包分析项目实时检查开源仓库中的包 | Linux 中国
欢迎遵照 CC-BY-SA 协议规定转载,
如需转载,请在文章下留言 “转载:公众号名称”,
我们将为您添加白名单,授权“转载文章时可以修改”。


原文始发于微信公众号(Linux中国):软件包分析项目实时检查开源仓库中的包 | Linux 中国

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月12日15:20:27
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   软件包分析项目实时检查开源仓库中的包 | Linux 中国http://cn-sec.com/archives/1000588.html

发表评论

匿名网友 填写信息