google 在开源软件方面有着悠久的历史……例如公司的 android 移动平台。但是,开源存在固有的安全风险。事实上,android 是每个人都可以使用的软件的一个很好的例子,可以被威胁参与者操纵。为了帮助解决开源软件的这个问题,google 正在支持开源安全基金会 (openssf) 的包。
该公司表示,它将帮助 openssf 扩展包,这将带来扫描开源包的能力。谷歌将允许将分析结果存储在其 bigquery 完全托管的无服务器数据仓库中。
有了这种支持,如果恶意开源软件被上传到存储库,用户将收到警报。谷歌指出,该方法还将通过软件供应链提供更多关于安全的信息。
谷歌分析了 200 个在 pypi 和 npm 上上传的恶意包。您可以在此处查看结果,但 google 会在博客文章中扩展详细信息:
“pypi:discordcmd
这个 python 包将攻击 windows 上 discord 的桌面客户端。它是通过发现对 raw.githubusercontent.com、discord api 和 ipinfo.io 的异常请求而发现的。生的。github用户内容。com、discord api 和 ipinfo.io。
npm:@roku-web-core/ajax
在安装过程中,这个 npm 包会泄露运行它的机器的详细信息,然后打开一个反向 shell,允许远程执行命令。”
持续风险
谷歌表示,由于缺乏复杂性,大多数恶意程序包来自安全研究人员。换句话说,研究人员正在调查恶意程序包,而不是使它们永久存在。
不过,该公司指出,必须改进审查存储库上的包的方法。谷歌呼吁建立一个报告和集中测试结果的开放标准。当然,这正是 分析项目旨在提供的内容。
未经允许不得转载:尊龙游戏旗舰厅官网 » 谷歌通过恶意开源包检测支持 openssf 包分析项目
