OpenSSF開源惡意套件儲存庫,以應對開源軟體供應鏈安全威脅
· 2023-10-16

OpenSSF釋出公開惡意套件儲存庫,集結並發布跨平臺惡意套件報告,以增進惡意套件報告資訊的傳遞,並協助阻止以及應對相關安全威脅

開源安全基金會(Open Source Security Foundation,OpenSSF)套件分析團隊,在GitHub上推出惡意套件儲存庫(Malicious Packages Repository),該儲存庫用於收集和發布跨生態系的惡意套件報告。OpenSSF的這項作為,是為了回應近期開源惡意套件攻擊事件頻傳的情況。

惡意套件是一種特殊類型的惡意軟體,被包裝成開源套件並發布到PyPI或NPM這類套件儲存庫中。攻擊者濫用套件交付形式,將惡意程式碼植入到受害者的系統中。受害者可能無意間安裝並且執行該套件,進而觸發惡意程式碼,進一步導致未經授權的存取、私人資料洩露,或是資料破壞等攻擊,官方指出,大多數的端點防毒軟體,都未能有效阻止惡意套件攻擊流程。

在去年5月的時候,OpenSSF釋出了可用於辨識惡意套件的分析工具,該工具透過偵測惡意行為,警示選用相關套件的開發者。套件分析工具與新的開源套件儲存庫相輔相成,OpenSSF會從熱門的開源套件儲存庫中,下載、安裝並執行套件,進而發現隱藏其中的惡意套件。透過捕捉套件指令,分析網路流量,並運用規則判斷套件行為,當OpenSSF發現惡意套件,就會將生成的報告發布到新的開源惡意套件儲存庫。

OpenSSF推出惡意套件儲存庫的目的,是要改善當前惡意套件報告資訊的透明度。每個開源套件儲存庫都有自己處理惡意套件的方式,當社群回報惡意套件時,套件儲存庫的安全團隊便會移除該套件和相關後設資料,但OpenSSF提到,這過程通常沒有公開紀錄,要發現存在哪些惡意套件,就必須要從多個公開來源或是專門的威脅情報來源拼湊資料。

而OpenSSF的惡意套件儲存庫作為一個公開的資料庫,得以彌補這個資料缺口,儲存庫中所收集的開源套件報告,可用於阻止惡意相依項目在CI/CD工作管線中被使用,也能使偵測引擎更加完善,或是加快企業的事件回應速度。

儲存庫使用開源漏洞(Open Source Vulnerability,OSV)格式,這是一種用於標示開源專案漏洞的JSON格式,官方提到,由於使用OSV格式,該儲存庫的資料也能與現有包括osv.dev API、osv-scanner和deps.dev等工具整合。

目前儲存庫已經收錄超過1.5萬份惡意套件,涵蓋OpenSSF套件分析專案、Checkmarx,以及GitHub平臺追蹤到的惡意套件匯出資料。

热门文章
PropellerAds 分享了新的 iGaming 案例研究:在 3 个月实现 97,674 次安装和 12,701 笔存款
广告营销
越南在线博彩业政策收紧 催生市场新机遇
东南亚资讯
斯里兰卡博弈产业大转型,官方:剑指南亚拉斯维加斯
游戏风向
2027 Global Game Connect(GGC)斯里兰卡招商全面开启!业务人脉尽在掌握!
灰度头条
印度最高法院受理公益诉讼,要求全国禁封“伪装”成社交游戏的赌博平台
游戏风向
Zenith携手HUIDU,冠名赞助2026年世界杯嘉年华官方巡回活动
线上游戏
英国确认各垂直行业的赌博税税率
游戏风向
亚洲顶尖游戏供应商多寶游戏 DB GAMING,开创亚洲市场的唯一首选
广告营销
超级PAC筹资4800万美元:体育博彩势力加码
游戏风向
巴西颁布新法赋权央行封锁非法博彩账户及 Pix 交易
支付动态
菲律宾博彩技术赛道迎来新变局,B2B 供应模式加速渗透
东南亚资讯
亚洲游戏市场观察:15大市场热门游戏与用户趋势
线上游戏
新泽西州7月博彩收入创6.06亿美元新高,颁布禁令
游戏风向
BETFAIR 网络攻击80万用户资料泄露
游戏风向
JILI 宣布与全球板球传奇 AB de Villiers(ABD)达成重磅战略合作
体育游戏
首页
游戏
合作
发现
我的