软件包分析项目实时检查开源仓库中的包 | Linux 中国

开源安全基金会（OpenSSF）发布了一个新工具的测试版，它可以对发布到著名开源仓库的所有软件包进行动态分析。软件包分析项目试图通过识别任何恶意行为并警告用户来保护开源软件包，目的是增强对开源软件的信任并加强软件供应链的安全性。

OpenSSF 说：“软件包分析项目旨在了解开源仓库上可用软件包的行为和功能：它们访问哪些文件，它们连接到哪些地址，以及它们运行哪些命令？”

该基金会的 Caleb Brown 和 David A. Wheeler 补充说：“该项目还跟踪软件包随时间的行为变化，以确定以前安全的软件何时开始出现可疑行为。”

该程序在为期一个月的测试运行中发现了 200 多个发布到 PyPI 和 NPM 的恶意软件包，其中大多数流氓库依赖于依赖混淆和仿冒攻击。谷歌是 OpenSSF 的成员，它支持软件包分析计划，强调“在发布软件包之前审查软件包以确保用户安全”的重要性。

去年，该公司的开源安全团队提出了软件工件的供应链级别（SLSA）架构，以验证软件包的完整性并防止未经授权的更改。这一发展是在开源生态系统越来越多地被武器化，用加密货币矿工和数据窃贼等恶意软件攻击开发者的情况下进行的。