Nueva herramienta para análisis de paquetes de código abierto en busca de comportamiento malicioso

AS-044-2022

Fecha: 29/Abr/2022

Resumen:

Nos complace anunciar la versión prototipo inicial del proyecto “Package-analysis” https://github.com/ossf/package-analysis , un proyecto OpenSSF que aborda el desafío de identificar paquetes maliciosos en repositorios populares de código abierto.

En solo un mes de análisis, el proyecto identificó más de 200 paquetes maliciosos subidos a PyPI y npm.

El proyecto de análisis de paquetes busca comprender el comportamiento y las capacidades de los paquetes disponibles en los repositorios de código abierto: ¿a qué archivos acceden, a qué direcciones se conectan y qué comandos ejecutan?

Recomendación.

Consulte el Proyecto e hitos de GitHub para obtener más oportunidades, y siéntase libre de participar en OpenSSF Slack . Este proyecto es uno de los esfuerzos del grupo de trabajo de seguridad de proyectos críticos de OpenSSF .

También puede explorar otros proyectos de OpenSSF como SLSA y Sigstore , los cuales se expanden más allá de la seguridad de los paquetes, para abordar la integridad de los mismos en toda la cadena de suministro.

Referencias:

https://openssf.org/blog/2022/04/28/introducing-package-analysis-scanning-open-source-packages-for-malicious-behavior/
https://security.googleblog.com/2022/04/the-package-analysis-project-scalable.html