Redian新闻
>
软件包分析项目实时检查开源仓库中的包 | Linux 中国

软件包分析项目实时检查开源仓库中的包 | Linux 中国

科技
 
导读:开源安全基金会(OpenSSF)发布了一个新工具的测试版,它可以对发布到著名开源仓库的所有软件包进行动态分析。
本文字数:776,阅读时长大约:1分钟

LCTT 译者 :geekpi
💎💎💎💎
翻译: 1682.5 篇
|
贡献: 3120 天
2013-10-25
2022-05-11
https://linux.cn/lctt/geekpi

开源安全基金会(OpenSSF)发布了一个新工具的测试版,它可以对发布到著名开源仓库的所有软件包进行动态分析。软件包分析项目试图通过识别任何恶意行为并警告用户来保护开源软件包,目的是增强对开源软件的信任并加强软件供应链的安全性。

OpenSSF 说:“软件包分析项目旨在了解开源仓库上可用软件包的行为和功能:它们访问哪些文件,它们连接到哪些地址,以及它们运行哪些命令?”

该基金会的 Caleb Brown 和 David A. Wheeler 补充说:“该项目还跟踪软件包随时间的行为变化,以确定以前安全的软件何时开始出现可疑行为。”

该程序在为期一个月的测试运行中发现了 200 多个发布到 PyPI 和 NPM 的恶意软件包,其中大多数流氓库依赖于依赖混淆和仿冒攻击。谷歌是 OpenSSF 的成员,它支持软件包分析计划,强调“在发布软件包之前审查软件包以确保用户安全”的重要性。

去年,该公司的开源安全团队提出了软件工件的供应链级别(SLSA)架构,以验证软件包的完整性并防止未经授权的更改。这一发展是在开源生态系统越来越多地被武器化,用加密货币矿工和数据窃贼等恶意软件攻击开发者的情况下进行的。


via: https://www.opensourceforu.com/2022/05/package-analysis-examines-packages-in-open-source-repositories-in-real-time/

作者:Laveesh Kocher 选题:lkxed 译者:geekpi 校对:wxy

本文由 LCTT 原创编译,Linux中国 荣誉推出


欢迎遵照 CC-BY-SA 协议规定转载,
如需转载,请在文章下留言 “转载:公众号名称”,
我们将为您添加白名单,授权“转载文章时可以修改”。


微信扫码关注该文公众号作者

戳这里提交新闻线索和高质量文章给我们。
相关阅读
上一个说“丼”不读jǐng的人,已经被我骂哭了如何在 Ubuntu 中安装具体指定的软件包版本 | Linux 中国美研申请指南04:年薪百万的商业分析项目详解!(附重磅选校福利)KIT 49 | MIT MBAn录取:没有大厂实习经历,照样拿下全美TOP1商业分析项目!走向墨西哥33 – 机场三小时Archinstall 新的菜单系统让安装 Arch Linux 更容易了 | Linux 中国如何在 Linux 桌面中启用 “激活 Linux” 水印通知 | Linux 中国开源朗读者:在虚拟机中运行 Linux 的十大优点 | Linux 中国使用 dnf 进行 Linux 包管理 | Linux 中国开源朗读者:我是如何帮助妈妈从 Windows 切换至 Linux 的 | Linux 中国开源朗读者:Linux 太难了?你需要知道这 5 点 | Linux 中国如何在 Linux 和 Windows 电脑之间共享文件 | Linux 中国分享 8 篇使用 Linux 命令行的技巧 | Linux 中国最适合程序员的 10 款 Linux 发行版 | Linux 中国开源朗读者:开源新手指南 | Linux 中国战争的后患硬核观察 #641 代码托管平台 Gitee 的开源仓库需要先审再上线开源朗读者:我为什么从 Mac 转到 Linux | Linux 中国使用 watch 和 tail 命令监视 Linux 上的活动 | Linux 中国MBAn录取分享 | 全美排名第一的MIT商业分析项目!用 Gwenview 在 Linux 上裁剪和调整照片大小 | Linux 中国微软将对应用商店中开源软件的收费进行限制 | Linux 中国与箫美分享,草长多了总能出些奇葩使用 Linux 上的开源财务工具 Skrooge 管理你的预算 | Linux 中国在乌克兰有这么2位令人骄傲的北京爷们摄影欣赏:浣溪沙:冷热无均三月间Linux 中国开通播客频道:“开源朗读者”和“硬核观察” | Linux 中国在虚拟机中运行 Linux 的十大优点 | Linux 中国使用 apt 进行 Linux 包管理 | Linux 中国谷歌开始分发一系列开源软件库 | Linux 中国实测 Linux Mint 升级工具 | Linux 中国软件包 “被标记为手动安装”?这是什么意思? | Linux 中国用这些开源工具在 Linux 上编辑 PDF 文件 | Linux 中国ESI 集团同 ENSAM 合作,开源其 Inpsector 软件 | Linux 中国我如何在 Linux 上扫描家庭照片 | Linux 中国
logo
联系我们隐私协议©2024 redian.news
Redian新闻
Redian.news刊载任何文章,不代表同意其说法或描述,仅为提供更多信息,也不构成任何建议。文章信息的合法性及真实性由其作者负责,与Redian.news及其运营公司无关。欢迎投稿,如发现稿件侵权,或作者不愿在本网发表文章,请版权拥有者通知本网处理。