Ny OpenSSF (Open Source Security Foundation), noforonin'ny Linux Foundation ary mikendry ny fanatsarana ny fiarovana ny rindrambaiko open source, dia nampiditra ny Open Project Package Analysis, izay mamorona rafitra handinihana ny fisian'ny code maloto ao anaty fonosana. Ny kaody tetikasa dia voasoratra ao amin'ny Go ary zaraina amin'ny alΓ lan'ny lisansa Apache 2.0. Fikarohana savaranonando amin'ny trano fitehirizam-bokatra NPM sy PyPI tamin'ny fampiasana ireo fitaovana naroso dia namela anay hamantatra fonosana ratsy 200 mahery tsy hita teo aloha.
Ny ankabeazan'ireo fonosana misy olana fantatra dia manodinkodina ny fifanenjehan'ny anarana miaraka amin'ny fiankinan-doha tsy miankina amin'ny tetik'asa (fanafihan'ny fisafotofotoana miankina) na mampiasa fomba fanaovana typosquatting (manome anarana mitovy amin'ny anaran'ny tranomboky malaza), ary miantso script izay miditra amin'ny mpampiantrano ivelany mandritra ny fotoana. ny dingana fametrahana. Araka ny filazan'ny mpamorona ny Package Analysis, ny ankamaroan'ny fonosana misy olana dia azo inoana fa noforonin'ny mpikaroka momba ny fiarovana izay mandray anjara amin'ny programa bounty bug, satria voafetra ho an'ny mpampiasa sy ny anaran'ny rafitra ny angon-drakitra alefa, ary ny hetsika dia atao mazava tsara, tsy misy fanandramana. afeno ny fitondrantenany .
Ny fonosana misy asa ratsy dia ahitana:
- Discordcmd fonosana PyPI, izay mirakitra ny fandefasana fangatahana atypical amin'ny raw.githubusercontent.com, Discord API ary ipinfo.io. Ny fonosana voatondro dia naka ny kaody backdoor avy amin'ny GitHub ary nametraka izany tao amin'ny lahatahiry mpanjifa Discord Windows, ary avy eo dia nanomboka ny dingan'ny fikarohana ireo mari-pamantarana Discord ao amin'ny rafi-drakitra ary mandefa azy ireo any amin'ny mpizara Discord ivelany fehezin'ny mpanafika.
- Ny fonosana colorss NPM dia nanandrana nandefa famantarana avy amin'ny kaonty Discord mankany amin'ny mpizara ivelany.
- Fonosana NPM @roku-web-core/ajax - nandritra ny fizotry ny fametrahana dia nandefa angona momba ny rafitra izy ary namoaka mpandrindra (akora mivadika) izay nanaiky ny fifandraisana ivelany sy nandefa baiko.
- PyPI package secrevthree - namoaka akora mivadika rehefa manafatra maody manokana.
- NPM package random-vouchercode-generator - taorian'ny nanafarana ny tranomboky dia nandefa fangatahana tany amin'ny server ivelany, izay namerina ny baiko sy ny fotoana tokony hampandehanana azy.
Ny asan'ny Famakafakana Package dia midina amin'ny famakafakana ireo fonosana kaody ao amin'ny kaody loharano ho an'ny fametrahana fifandraisana amin'ny tambajotra, fidirana amin'ny rakitra ary baiko. Fanampin'izany, ny fiovana eo amin'ny toetry ny fonosana dia araha-maso mba hamaritana ny fanampim-panampiana fampidirana ratsy amin'ny iray amin'ireo famoahana rindrambaiko tsy mampidi-doza tamin'ny voalohany. Mba hanaraha-maso ny fisehon'ireo fonosana vaovao ao anaty tahiry sy hanovana ireo fonosana efa navoaka teo aloha, dia ampiasaina ny kitapo Package Feeds, izay mampiray ny asa miaraka amin'ny NPM, PyPI, Go, RubyGems, Packagist, NuGet ary Crate repository.
Package Analysis dia ahitana singa fototra telo izay azo ampiasaina miaraka sy misaraka:
- Fandaharam-potoana hanombohana asa famakafakana fonosana mifototra amin'ny angona avy amin'ny Package Feeds.
- Analyse izay mandinika mivantana ny fonosana iray ary manombana ny fitondran-tenany amin'ny alΓ lan'ny famakafakana static sy teknika fanaraha-maso mavitrika. Ny fitsapana dia atao amin'ny tontolo mitoka-monina.
- Loader izay mametraka ny valin'ny fitsapana ao amin'ny fitahirizana BigQuery.
Source: opennet.ru