Lub OpenSSF (Open Source Security Foundation), tsim los ntawm Linux Foundation thiab tsom rau kev txhim kho kev ruaj ntseg ntawm cov software qhib, tau qhia txog qhov qhib qhov Kev Ntsuam Xyuas Pob, uas tsim cov txheej txheem rau kev txheeb xyuas qhov muaj tus lej tsis zoo hauv pob. Txoj haujlwm code yog sau rau hauv Go thiab faib raws li Apache 2.0 daim ntawv tso cai. Kev soj ntsuam ua ntej ntawm NPM thiab PyPI repositories siv cov cuab yeej npaj tau tso cai rau peb txheeb xyuas ntau dua 200 pob khoom tsis zoo yav dhau los.
Feem ntau ntawm cov pob teeb meem uas tau txheeb xyuas los tswj cov kev sib tshuam ntawm cov npe nrog cov tsis yog pej xeem kev vam meej ntawm cov haujlwm (kev cuam tshuam tsis meej pem) lossis siv txoj hauv kev typosquatting (xws li cov npe zoo ib yam li cov tsev qiv ntawv nrov), thiab tseem hu rau cov ntawv sau uas nkag mus rau lwm tus tswv thaum lub sijhawm txheej txheem installation. Raws li cov neeg tsim khoom ntawm Kev Ntsuam Xyuas Pob, feem ntau ntawm cov pob teeb meem uas tau txheeb xyuas feem ntau yog tsim los ntawm cov kws tshawb fawb txog kev ruaj ntseg koom nrog cov kev pab cuam kab laum, txij li cov ntaub ntawv xa mus yog txwv rau tus neeg siv thiab lub npe lub npe, thiab cov kev nqis tes ua tau ua kom meej meej, tsis muaj kev sim ua. zais lawv tus cwj pwm.
Cov pob khoom uas muaj kev ua phem muaj xws li:
- PyPI pob discordcmd, uas cov ntaub ntawv xa cov lus thov atypical rau raw.githubusercontent.com, Discord API thiab ipinfo.io. Cov pob tau teev tseg tau rub tawm cov lej rov qab los ntawm GitHub thiab tau teeb tsa hauv Discord Windows cov neeg siv cov npe, tom qab ntawd nws pib cov txheej txheem tshawb nrhiav Discord tokens hauv cov ntaub ntawv kaw lus thiab xa lawv mus rau lwm qhov Discord server tswj los ntawm cov neeg tawm tsam.
- Colorss NPM pob kuj tau sim xa cov tokens los ntawm Discord account mus rau lwm tus neeg rau zaub mov.
- NPM pob @roku-web-core / ajax - thaum lub sijhawm teeb tsa nws tau xa cov ntaub ntawv hais txog lub kaw lus thiab tso tawm tus neeg tuav haujlwm (rov qab plhaub) uas lees txais kev sib txuas sab nraud thiab tso tawm cov lus txib.
- PyPI pob secrevthree - launched lub plhaub rov qab thaum importing ib qho module tshwj xeeb.
- NPM pob random-vouchercode-generator - tom qab importing lub tsev qiv ntawv, nws xa ib daim ntawv thov mus rau lwm tus neeg rau zaub mov, uas xa rov qab cov lus txib thiab lub sij hawm uas nws yuav tsum tau khiav.
Kev ua haujlwm ntawm Kev Tshawb Fawb Pob yog los ntawm kev txheeb xyuas cov lej pob hauv qhov chaws los tsim kev sib txuas hauv network, nkag mus rau cov ntaub ntawv, thiab khiav cov lus txib. Tsis tas li ntawd, kev hloov pauv hauv lub xeev ntawm cov pob khoom raug saib xyuas los txiav txim siab qhov sib ntxiv ntawm cov ntaub ntawv tsis zoo nyob rau hauv ib qho ntawm cov kev tso tawm ntawm cov software tsis muaj teeb meem. Txhawm rau saib xyuas cov pob khoom tshiab hauv cov chaw khaws cia thiab hloov pauv cov pob khoom uas tau tshaj tawm yav dhau los, Cov Khoom Siv Khoom Siv Pob Khoom Siv yog siv, uas sib koom ua haujlwm nrog NPM, PyPI, Mus, RubyGems, Packagist, NuGet thiab Crate repositories.
Package Analysis suav nrog peb yam tseem ceeb uas tuaj yeem siv tau ob qho tib si sib txuas thiab sib cais:
- Teem sijhawm rau kev nthuav tawm pob tsom xam ua haujlwm raws li cov ntaub ntawv los ntawm Pob Khoom.
- Ib qho tshuaj ntsuam xyuas ncaj qha rau ib pob thiab ntsuas nws tus cwj pwm siv kev soj ntsuam zoo li qub thiab cov txheej txheem dynamic tracing. Qhov kev ntsuam xyuas yog ua nyob rau hauv ib qho chaw nyob ib leeg.
- Lub loader uas tso cov txiaj ntsig kev xeem rau hauv BigQuery cia.
Tau qhov twg los: opennet.ru