Voici un nouvel outil qui analyse les référentiels open source à la recherche de packages malveillants

Malicious Packages in Open-Source Repositories Des nouvelles

L’Open Source Security Foundation (OpenSSF) a annoncé la sortie d’un premier prototype d’un nouvel outil capable d’effectuer une analyse dynamique de tous les packages téléchargés sur des référentiels open source populaires.

Appelé le Analyse de colis projet, l’initiative vise à sécuriser les packages open source en détectant et en alertant les utilisateurs de tout comportement malveillant dans le but de renforcer la sécurité de la chaîne d’approvisionnement logicielle et d’accroître la confiance dans les logiciels open source.

« Le projet Package Analysis cherche à comprendre le comportement et les capacités des packages disponibles sur les référentiels open source : à quels fichiers accèdent-ils, à quelles adresses se connectent-ils et quelles commandes exécutent-ils ? », l’OpenSSF. mentionné.

« Le projet suit également les changements dans le comportement des packages au fil du temps, pour identifier quand un logiciel auparavant sûr commence à agir de manière suspecte », ont ajouté Caleb Brown et David A. Wheeler de la fondation.

Lors d’un test qui a duré un mois, l’outil a identifié plus de 200 paquets malveillants téléchargé sur PyPI et NPM, la majorité des bibliothèques malveillantes tirant parti de la confusion des dépendances et des attaques de typosquattage.

Google, qui est membre d’OpenSSF, a également rallié son soutien derrière le projet Package Analysis, tout en soulignant la nécessité de « vérifier les packages publiés afin d’assurer la sécurité des utilisateurs ».

L’année dernière, l’équipe de sécurité Open Source du géant de la technologie a proposé un nouveau cadre appelé Niveaux de la chaîne d’approvisionnement pour les artefacts logiciels (SLSA) pour garantir l’intégrité des progiciels et empêcher les modifications non autorisées.

Le développement intervient alors que l’écosystème open source est de plus en plus armé pour cibler les développeurs avec une variété de logiciels malveillants, y compris les mineurs de crypto-monnaie et les voleurs d’informations.

David
Rate author
Hackarizona