開源安全基金會（Open Source Security Foundation，OpenSSF）套件分析團隊，在GitHub上推出惡意套件儲存庫（Malicious Packages Repository），該儲存庫用於收集和發布跨生態系的惡意套件報告。OpenSSF的這項作為，是為了回應近期開源惡意套件攻擊事件頻傳的情況。

惡意套件是一種特殊類型的惡意軟體，被包裝成開源套件並發布到PyPI或NPM這類套件儲存庫中。攻擊者濫用套件交付形式，將惡意程式碼植入到受害者的系統中。受害者可能無意間安裝並且執行該套件，進而觸發惡意程式碼，進一步導致未經授權的存取、私人資料洩露，或是資料破壞等攻擊，官方指出，大多數的端點防毒軟體，都未能有效阻止惡意套件攻擊流程。

在去年5月的時候，OpenSSF釋出了可用於辨識惡意套件的分析工具，該工具透過偵測惡意行為，警示選用相關套件的開發者。套件分析工具與新的開源套件儲存庫相輔相成，OpenSSF會從熱門的開源套件儲存庫中，下載、安裝並執行套件，進而發現隱藏其中的惡意套件。透過捕捉套件指令，分析網路流量，並運用規則判斷套件行為，當OpenSSF發現惡意套件，就會將生成的報告發布到新的開源惡意套件儲存庫。

OpenSSF推出惡意套件儲存庫的目的，是要改善當前惡意套件報告資訊的透明度。每個開源套件儲存庫都有自己處理惡意套件的方式，當社群回報惡意套件時，套件儲存庫的安全團隊便會移除該套件和相關後設資料，但OpenSSF提到，這過程通常沒有公開紀錄，要發現存在哪些惡意套件，就必須要從多個公開來源或是專門的威脅情報來源拼湊資料。

而OpenSSF的惡意套件儲存庫作為一個公開的資料庫，得以彌補這個資料缺口，儲存庫中所收集的開源套件報告，可用於阻止惡意相依項目在CI/CD工作管線中被使用，也能使偵測引擎更加完善，或是加快企業的事件回應速度。

儲存庫使用開源漏洞（Open Source Vulnerability，OSV）格式，這是一種用於標示開源專案漏洞的JSON格式，官方提到，由於使用OSV格式，該儲存庫的資料也能與現有包括osv.dev API、osv-scanner和deps.dev等工具整合。

目前儲存庫已經收錄超過1.5萬份惡意套件，涵蓋OpenSSF套件分析專案、Checkmarx，以及GitHub平臺追蹤到的惡意套件匯出資料。