У Google богатая история с программным обеспечением с открытым исходным кодом… например, с мобильной платформой Android. Однако в открытом исходном коде существуют неотъемлемые риски безопасности. На самом деле, Android — хороший пример программного обеспечения, доступного для всех, которым могут манипулировать злоумышленники. Чтобы решить эту проблему с помощью программного обеспечения с открытым исходным кодом, Google поддерживает проект анализа пакетов Open Source Security Foundation (OpenSSF).
Компания заявляет, что это поможет OpenSSF масштабировать проект анализа пакетов, который дает возможность сканировать пакеты с открытым исходным кодом. Google позволит хранить результаты анализа в своем полностью управляемом бессерверном хранилище данных BigQuery.
Благодаря этой поддержке пользователи получат предупреждение, если вредоносное программное обеспечение с открытым исходным кодом будет загружено в репозиторий. Google отмечает, что этот метод также предоставит больше информации о безопасности через цепочку поставок программного обеспечения.
Рекламное объявление
Google проанализировал 200 вредоносных пакетов, загруженных на PyPI и NPM. Вы можете увидеть результаты здесь, но Google расширяет детали в сообщении в блоге:
«PyPI: discordcmd
Этот пакет Python будет атаковать настольный клиент для Discord в Windows. Его обнаружили, обнаружив необычные запросы к raw.githubusercontent.com, Discord API и ipinfo.io.
NPM: @roku-web-core/ajax
Во время установки этот пакет NPM извлекает информацию о машине, на которой он работает, а затем открывает обратную оболочку, позволяя удаленно выполнять команды».
Текущий риск
Google предполагает, что большинство вредоносных пакетов создано исследователями безопасности из-за отсутствия изощренности. Другими словами, исследователи изучают вредоносные пакеты, а не увековечивают их.
Тем не менее, компания указывает, что должны быть усовершенствованы методы проверки пакетов, попадающих в репозитории. Google призывает к открытому стандарту отчетности и централизации результатов тестирования. Конечно, это именно то, к чему стремится проект анализа пакетов OpenSSF.
Совет дня: Вы иногда сталкиваетесь с проблемами поиска Windows, когда он не находит файлы или не возвращает результаты? Ознакомьтесь с нашим руководством, чтобы узнать, как исправить поиск в Windows различными способами.
Рекламное объявление