Google 在开源软件方面有着悠久的历史……例如公司的 Android 移动平台。但是,开源存在固有的安全风险。事实上,Android 是每个人都可以使用的软件的一个很好的例子,可以被威胁参与者操纵。为了帮助解决开源软件的这个问题,Google 正在支持开源安全基金会 (OpenSSF) 的包分析项目。
该公司表示,它将帮助 OpenSSF 扩展包分析项目,这将带来扫描开源包的能力。谷歌将允许将分析结果存储在其 BigQuery 完全托管的无服务器数据仓库中。
有了这种支持,如果恶意开源软件被上传到存储库,用户将收到警报。谷歌指出,该方法还将通过软件供应链提供更多关于安全的信息。
谷歌分析了 200 个在 PyPI 和 NPM 上上传的恶意包。您可以在此处查看结果,但 Google 会在博客文章中扩展详细信息:
“PyPI:discordcmd
这个 Python 包将攻击 Windows 上 Discord 的桌面客户端。它是通过发现对 raw.githubusercontent.com、Discord API 和 ipinfo.io 的异常请求而发现的。生的。github用户内容。com、Discord API 和 ipinfo.io。
NPM:@roku-web-core/ajax
在安装过程中,这个 NPM 包会泄露运行它的机器的详细信息,然后打开一个反向 shell,允许远程执行命令。”
持续风险
谷歌表示,由于缺乏复杂性,大多数恶意程序包来自安全研究人员。换句话说,研究人员正在调查恶意程序包,而不是使它们永久存在。
不过,该公司指出,必须改进审查存储库上的包的方法。谷歌呼吁建立一个报告和集中测试结果的开放标准。当然,这正是 OpenSSF 包分析项目旨在提供的内容。
未经允许不得转载:表盘吧 » 谷歌通过恶意开源包检测支持 OpenSSF 包分析项目