OpenSSF釋出可用來辨識惡意套件的Package Analysis工具

開源安全基金會（Open Source Security Foundation，OpenSSF）上周發表了套件分析（Package Analysis）專案的原型，以用來辨識開源儲存庫中的惡意套件，經過一個月的分析之後，找到了上傳至PyPI及npm專案的逾200個惡意套件。

OpenSSF說明，此一專案的任務在於理解開源儲存庫中套件的行為及能力，例如套件存取了哪些檔案、連結至什麼位址或是執行哪些命令等，也會追蹤套件在不同時期的改變，以辨識那些原本安全卻日益可疑的套件。

套件分析專案可望藉由偵測惡意行為、通知選擇相關套件的使用者，並提供資料予安全研究人員，以改善開源碼軟體的安全性。

初期該專案所找到的惡意套件絕大多數都與依賴混淆及偽造網址有關，且它們通常只是在安裝時內含一個簡單的腳本程式，且只提供很少的主機資訊。不過，這些套件很可能是安全研究人員為了抓漏獎勵專案所設計的，因為它們多半只存取機器或使用者名稱，而未汲取更有意義的資料，再加上它們基本上並未掩飾自己的企圖。

儘管如此，有鑑於相關套件有機會演變成惡意行為，套件分析專案還是針對相關攻擊提供了對策。

OpenSSF同時呼籲開源社群協助改善該專案，包括如何追蹤套件行為的轉變、如何自動化處理分析結果、儲存套件以進行長期分析，以及提高流程的可靠性等。