OpenSSF 推出突破性的恶意软件包存储库以实现开源软件安全

为了增强开源软件的安全性，开源安全基金会 (OpenSSF) 推出了一个独特的存储库，作为整理恶意软件包报告的集中中心。这个彻底创新的存储库有望彻底改变恶意开源软件的处理方式。

从历史上看，处理恶意软件包一直是一种不同的方法，每个开源软件包存储库都有自己独特的方法来处理这些网络威胁。通常，当社区报告恶意软件包时，存储库安全团队的标准协议会从系统中删除该软件包及其相关元数据。然而，这些清除往往是秘密进行的，因此没有留下任何公共记录。

对此，谷歌开源安全团队高级软件工程师 Caleb Brown 和 Checkmarx 软件供应链安全负责人 Jossef Harush Kadouri 在博客中表示，识别恶意软件包的存在始终是一项艰巨的任务，需要梳理无数的恶意软件包。公共来源或依赖专有的威胁情报源。他们解释说，新的存储库将充当公共数据库来托管这些报告。

OpenSSF 认为这个公共存储库有助于通过 CI/CD 管道阻止恶意依赖关系的发展、改进检测引擎、限制环境中的使用或加快事件响应。存储库中包含的宝贵信息将大大增强开源软件的安全性。

值得注意的是，存储的报告遵循开源漏洞 (OSV) 格式，这大大简化了 osv.dev API、osv-scanner 工具和 deps.dev 等工具的使用。

对于数据源，该项目严重依赖 Checkmarx 安全性、GitHub 跟踪的恶意包导出和包分析项目。包分析项目专门检查包访问的文件、连接的地址和运行命令等行为以发现恶意活动。除了识别恶意软件之外，它还监控行为随时间的变化，从而标记出可能在以后变成恶意软件的潜在有害软件包。

像 AppMaster 这样的平台非常注重应用程序创建过程中的安全性。虽然新推出的Malicious Packages存储库主要针对开源软件安全，但它也间接强化了AppMaster为移动、Web和后端应用程序开发提供安全no-code解决方案的承诺。