オープンソースセキュリティ財団は、評判の高いオープンソースリポジトリにリリースされたすべてのソフトウェアパッケージを動的に分析する新しいツールのベータ版をリリースしました。パッケージ分析プロジェクトは、オープンソースソフトウェアの信頼性を高め、ソフトウェアサプライチェーンのセキュリティを強化することを目的として、悪意のある動作を特定し、ユーザーに警告することにより、オープンソースソフトウェアパッケージを保護することを目指しています。
OpenSSFは次のように述べています。"パッケージ解析プロジェクトは、オープンソースリポジトリで利用可能なパッケージの動作や機能を理解することを目的としています。"どのようなファイルにアクセスし、どのようなアドレスに接続し、どのようなコマンドを実行するのか?
同財団のカレブ・ブラウンとデビッド・A・ウィーラーは、「このプロジェクトでは、ソフトウェア・パッケージの経時的な挙動の変化も追跡し、以前は安全だったソフトウェアがいつ不審な挙動を示すようになるかを判断しています。
このプログラムを1ヶ月間テストしたところ、PyPIとNPMに配布された200以上のマルウェアパッケージが見つかり、不正なライブラリのほとんどは依存関係の難読化とエミュレーション攻撃に依存していました。Googleはパッケージ分析プログラムをサポートするOpenSSFのメンバーであり、「ユーザのセキュリティを確保するために、リリースされたパッケージをレビューする」ことの重要性を強調しています。
昨年、同社のオープンソースセキュリティチームは、パッケージの完全性を検証し、不正な変更を防止するためのソフトウェア成果物のサプライチェーンレベルのアーキテクチャを提案しました。この開発は、オープンソースのエコシステムが、暗号通貨の採掘者やデータ窃盗などのマルウェアで開発者を攻撃するためにますます武器化されている中で行われました。
を経由して
