Ko te OpenSSF (Open Source Security Foundation), i hangaia e te Linux Foundation me te whai ki te whakapai ake i te haumarutanga o nga punaha punaha tuwhera, i whakaurua te kaupapa Open Package Analysis, e whakawhanake ana i tetahi punaha mo te tātari i te aroaro o te waehere kino i roto i nga kete. Ko te waehere kaupapa kua tuhia ki te Haere me te tohatoha i raro i te raihana Apache 2.0. Na te karapa tuatahi o nga whare putunga NPM me PyPI ma te whakamahi i nga taputapu i whakaarohia i taea e matou te tautuhi neke atu i te 200 nga kohinga kino kaore i kitea i mua.
Ko te nuinga o nga kohinga raruraru kua tautuhia e raweke ana i te whakawhitinga o nga ingoa me nga kaupapa here-kore-a-iwi o nga kaupapa (whakaeke whakamarumaru o te whakawhirinaki) ka whakamahi ranei i nga tikanga typosquatting (whakatakoto ingoa rite ki nga ingoa o nga whare pukapuka rongonui), ka karanga ano hoki i nga tuhinga e uru ana ki nga kaihautu o waho i te waa. te tukanga whakauru. E ai ki nga kaiwhakawhanake o te Taatari Paanui, ko te nuinga o nga kohinga raru kua tautuhia i hangaia e nga kairangahau haumaru e whai waahi ana ki nga kaupapa koha pepeha, na te mea ko nga raraunga ka tukuna he iti ki te ingoa kaiwhakamahi me te ingoa punaha, a ka mahia nga mahi, kaore he ngana ki te mahi. huna ratou whanonga.
Kei roto i nga kohinga he mahi kino:
- PyPI package discordcmd, e tuhi ana i te tuku tono atypical ki raw.githubusercontent.com, Discord API me ipinfo.io. I tangohia e te kete kua tohua te waehere o muri mai i GitHub ka whakauruhia ki roto i te raarangi a nga kaihoko a Discord Windows, i muri mai ka tiimata te rapu i nga tohu Discord i roto i te punaha konae me te tuku atu ki tetahi tūmau Discord o waho e whakahaerehia ana e nga kaiwhaiwhai.
- I ngana ano te kohinga NPM tae ki te tuku tohu mai i te putea Discord ki tetahi tūmau o waho.
- NPM package @roku-web-core/ajax - i te wa o te whakaurunga ka tukuna e ia nga raraunga mo te punaha me te whakarewa i tetahi kaihautu (anga whakamuri) i whakaae ki nga hononga o waho me te whakarewa i nga whakahau.
- PyPI package secrevthree - i whakarewahia he anga whakamuri i te wa e kawemai ana i tetahi waahanga motuhake.
- NPM package random-vouchercode-generator - i muri i te kawemai i te whare pukapuka, ka tukuna he tono ki tetahi tūmau o waho, nana i whakahoki te whakahau me te wa e tika ai te whakahaere.
Ko te mahi o te Taatari Mokete ka heke iho ki te wetewete i nga kohinga waehere i roto i te waehere puna mo te whakatuu hononga whatunga, te uru atu ki nga konae, me nga whakahau whakahaere. I tua atu, ka aro turukihia nga huringa o te ahua o nga kete ki te whakatau i te taapiri o nga whakaurunga kino ki tetahi o nga putanga o nga punaha kino kore i te tuatahi. Hei aro turuki i te ahua o nga kohinga hou i roto i nga whare pupuri me te whakarereke i nga kohinga kua whakairihia i mua, ka whakamahia te kete taputapu Package Feeds, e whakakotahi ana i nga mahi me nga putunga NPM, PyPI, Go, RubyGems, Packagist, NuGet me Crate.
E toru nga waahanga taketake e taea te whakamahi tahi me te wehe motuhake i te Taataritanga mokete:
- Kaihōtaka mo te whakarewa i nga mahi tātaritanga kete i runga i nga raraunga mai i nga Whāngai Mōkī.
- He kaitirotiro e tirotiro tika ana i tetahi kete me te arotake i ona whanonga ma te whakamahi i nga mahi tātari pateko me nga tikanga rapu hihiko. Ka mahia te whakamatautau i roto i te taiao taratahi.
- He kaitautai ka tuu i nga hua whakamatautau ki roto i te rokiroki BigQuery.
Source: opennet.ru