De Open Source Security Foundation (OpenSSF) heeft de eerste prototype-release aangekondigd van een nieuwe tool die in staat is om dynamische analyses uit te voeren van alle pakketten die zijn geüpload naar populaire open source repositories.
Genaamd de Pakketanalyse project, heeft het initiatief tot doel open-sourcepakketten te beveiligen door gebruikers te detecteren en te waarschuwen voor kwaadaardig gedrag met als doel de beveiliging van de softwaretoeleveringsketen te versterken en het vertrouwen in open-sourcesoftware te vergroten.
“Het Package Analysis-project probeert inzicht te krijgen in het gedrag en de mogelijkheden van pakketten die beschikbaar zijn op open source-repository’s: tot welke bestanden hebben ze toegang, met welke adressen maken ze verbinding en welke commando’s voeren ze uit?” zei.
“Het project houdt ook veranderingen in hoe pakketten zich in de loop van de tijd gedragen, om te identificeren wanneer voorheen veilige software zich verdacht begint te gedragen”, voegden Caleb Brown en David A. Wheeler van de stichting toe.
Tijdens een testrun die een maand duurde, identificeerde de tool meer dan 200 kwaadaardige pakketten geüpload naar PyPI en NPM, waarbij de meeste malafide bibliotheken gebruikmaken van afhankelijkheidsverwarring en typosquatting-aanvallen.
Google, dat lid is van OpenSSF, heeft ook: verzamelde zijn steun achter het pakketanalyseproject, terwijl de noodzaak wordt benadrukt om “pakketten te controleren die worden gepubliceerd om gebruikers veilig te houden”.
Het Open Source Security Team van de techgigant bracht vorig jaar een nieuw frame uit genaamd Supply chain Levels for Software Artifacts (SLSA) om de integriteit van softwarepakketten te waarborgen en ongeoorloofde wijzigingen te voorkomen.
De ontwikkeling komt op het moment dat het open source-ecosysteem steeds meer wordt bewapend om ontwikkelaars te targeten met een verscheidenheid aan malware, waaronder cryptocurrency-mijnwerkers en informatie-stealers.
