Инструмент Package Analysis помогает обнаружить вредоносные пакеты npm и PyPI

Инструмент Package Analysis помогает обнаружить вредоносные пакеты npm и PyPI

Инструмент направлен на борьбу с вредоносным ПО в репозиториях с открытым исходным кодом.

Open Source Security Foundation (OpenSSF), проект, поддерживаемый Linux Foundation, выпустил первую тестовую версию инструмента Package Analysis , направленного на выявление и противодействие атакам на реестры открытых исходных кодов.

"Проект Package Analysis направлен на понимание поведения и возможностей пакетов, доступных в репозиториях с открытым исходным кодом: к каким файлам они обращаются, к каким адресам подключаются и какие команды выполняют?",— говорят Калеб Браун и Дэвид Уилер, члены рабочей группы OpenSSF по обеспечению безопасности критически важных проектов . "Проект отслеживает изменения в поведении пакетов с течением времени, чтобы определить, когда ранее безопасное программное обеспечение начинает вести себя подозрительно".

В ходе пилотного запуска, длившегося менее месяца, опубликованный на GitHub проект смог выявить более 200 вредоносных пакетов npm и PyPI . По словам OpenSSF, подавляющее большинство найденных вредоносных пакетов атакуют при помощи тайпсквоттинга и путаницы зависимостей.

Тени в интернете всегда следят за вами

Станьте невидимкой – подключайтесь к нашему каналу.