Το Package Analysis , λέει η OpenSSF, στοχεύει στον εντοπισμό της συμπεριφοράς και των δυνατοτήτων των πακέτων ανοιχτού κώδικα – συμπεριλαμβανομένων των αρχείων στα οποία έχουν πρόσβαση, των εντολών που υποστηρίζουν και των IP στα οποία συνδέονται – και να παρακολουθεί τροποποιήσεις που θα μπορούσαν να αποκαλύψουν ύποπτες δραστηριότητες.
«Αυτή η προσπάθεια αποσκοπεί στη βελτίωση της ασφάλειας του λογισμικού ανοιχτού κώδικα με τον εντοπισμό κακόβουλης συμπεριφοράς, την ενημέρωση των καταναλωτών που επιλέγουν πακέτα και την παροχή στους ερευνητές δεδομένων σχετικά με το οικοσύστημα», λέει το OpenSSF.
Υπό ανάπτυξη για λίγο, το έργο πέρασε από εκτεταμένες αλλαγές και μόλις πρόσφατα έγινε χρήσιμο, λέει το Ίδρυμα.
Το Package Analysis διερευνά δυναμικά πακέτα σε δημοφιλείς αποθετήρια ανοιχτού κώδικα και τοποθετεί τα αποτελέσματα σε έναν πίνακα BigQuery. Το έργο έχει ήδη εντοπίσει περισσότερα από 200 κακόβουλα πακέτα PyPI και npm, αλλά τα περισσότερα από αυτά ήταν σύγχυση εξαρτήσεων και επιθέσεις typosquatting.
Τα πακέτα που προσδιορίστηκαν περιείχαν συνήθως ένα απλό σενάριο σχεδιασμένο να εκτελείται κατά την εγκατάσταση και να στέλνει στο σπίτι μια μικρή ποσότητα πληροφοριών για τον κεντρικό υπολογιστή. Ωστόσο, θα μπορούσαν να αποδειχθούν πολύ πιο επιζήμιοι για αυτούς που τα εγκατέστησαν.
Σύμφωνα με το OpenSSF, τα περισσότερα από αυτά τα κακόβουλα πακέτα θα μπορούσαν να είναι έργο ερευνητών ασφαλείας, δεδομένου ότι δεν διείσδυσαν σημαντικά δεδομένα και ότι δεν έγινε καμία προσπάθεια συγκάλυψης της συμπεριφοράς.
Το Ίδρυμα ζητά τη συμμετοχή στην προώθηση του έργου, τη βελτίωση της ανίχνευσης συμπεριφοράς, την αυτοματοποίηση της επεξεργασίας αποτελεσμάτων, την αποθήκευση πακέτων που υποβάλλονται σε επεξεργασία για μακροπρόθεσμη ανάλυση και τη βελτίωση της αξιοπιστίας.
Η Google, η οποία έχει υποστηρίξει εδώ και καιρό ένα ασφαλέστερο περιβάλλον ανοιχτού κώδικα και είναι μέλος του OpenSSF, έχει ήδη ανακοινώσει υποστήριξη για το έργο.
«Αυτό το πρόγραμμα συμβάλλει σε μια πιο ασφαλή αλυσίδα εφοδιασμού λογισμικού και μεγαλύτερη εμπιστοσύνη στο λογισμικό ανοιχτού κώδικα. Το πρόγραμμα παρέχει επίσης πληροφορίες για τους τύπους κακόβουλων πακέτων που είναι πιο συνηθισμένοι ανά πάσα στιγμή, τα οποία μπορούν να καθοδηγήσουν αποφάσεις σχετικά με τον τρόπο καλύτερης προστασίας του οικοσυστήματος», λέει η Google.
Σύμφωνα με τον κολοσσό του διαδικτύου, ο σύντομος χρόνος που χρειάστηκε η Package Analysis για τον εντοπισμό κακόβουλων έργων δείχνει ότι πρέπει να επενδυθούν περισσότερα σε πακέτα ελέγχου για να διατηρηθούν οι χρήστες ασφαλείς.
«Αυτός είναι ένας αναπτυσσόμενος χώρος και η ύπαρξη ενός ανοιχτού προτύπου για την αναφορά θα βοηθούσε στη συγκέντρωση των αποτελεσμάτων της ανάλυσης και θα προσφέρει στους καταναλωτές ένα αξιόπιστο μέρος για να αξιολογήσουν τα πακέτα που σκέφτονται να χρησιμοποιήσουν. Η δημιουργία ενός ανοιχτού προτύπου θα πρέπει επίσης να ενθαρρύνει τον υγιή ανταγωνισμό, να προωθεί την ενοποίηση και να αυξάνει τη συνολική ασφάλεια των πακέτων ανοιχτού κώδικα», κατέληξε η Google.