OpenSSF (Open Source Security Foundation), e thehiloeng ke Linux Foundation mme e ikemiselitse ho ntlafatsa ts'ireletso ea software ea mohloli o bulehileng, e hlahisitse morero o bulehileng oa Package Analysis, e hlahisang mokhoa oa ho hlahloba boteng ba khoutu e kotsi ka har'a liphutheloana. Khoutu ea projeke e ngotsoe ho Go mme e ajoa tlasa laesense ea Apache 2.0. Tlhahlobo ea pele ea polokelo ea NPM le PyPI e sebelisang lisebelisoa tse reriloeng e re lumelletse ho khetholla liphutheloana tse mpe tse fetang 200 tse neng li sa bonoa.
Bongata ba liphutheloana tse nang le bothata bo qotsitsoeng bo theola mateano a mabitso a nang le litšepiso tse ka hare tsa merero e seng ea sechaba (tlhaselo ea pherekano ea ho itšetleha) kapa sebelisa mekhoa ea ho thaepa (ho fana ka mabitso a tšoanang le a lilaebrari tse tsebahalang), hape le ho letsetsa mangolo a fihlellang batho ba tsoang kantle nakong ea mokhoa oa ho kenya. Ho ea ka bahlahisi ba Package Analysis, boholo ba liphutheloana tse nang le mathata tse fumanoeng li ka etsahala hore ebe li entsoe ke bafuputsi ba ts'ireletso ba kenyang letsoho mananeong a bounty bug, kaha data e rometsoeng e lekanyelitsoe ho mosebedisi le lebitso la tsamaiso, 'me liketso li etsoa ka mokhoa o hlakileng, ntle le boiteko ba ho pata boitšoaro ba bona .
Liphutheloana tse nang le ts'ebetso e mpe li kenyelletsa:
- Pakete ea PyPI discordcmd, e tlalehang ho romela likopo tse sa tloaelehang ho raw.githubusercontent.com, Discord API le ipinfo.io. Sephutheloana se boletsoeng se jarollotse khoutu e ka morao ho GitHub mme ea e kenya bukeng ea bareki ba Discord Windows, kamora moo e ile ea qala ts'ebetso ea ho batla li-tokens tsa Discord ka har'a sistimi ea faele le ho li romella ho seva sa Discord sa kantle se laoloang ke bahlaseli.
- Pakete ea colorss NPM le eona e lekile ho romella li-tokens ho tsoa akhaonteng ea Discord ho seva sa kantle.
- Sephutheloana sa NPM @roku-web-core/ajax - nakong ea ts'ebetso ea ho kenya se rometse lintlha mabapi le sistimi mme sa qala sebatli (reverse shell) se amohetseng likhokahano tsa kantle le ho qala litaelo.
- PyPI secrevthree sephutheloana - e hlahisitse khetla e ka morao ha e kenya mojule o itseng.
- NPM sephutheloana sa "vouchercode-generator" - ka mor'a ho kenya laeborari, e rometse kopo ho seva sa kantle, se ileng sa khutlisa taelo le nako eo e lokelang ho tsamaisoa ka eona.
Mosebetsi oa Package Analysis o theohela ho sekaseka liphutheloana tsa khoutu mohloling oa mohloli oa ho theha likhokahano tsa marang-rang, ho fihlella lifaele le ho tsamaisa litaelo. Ho feta moo, liphetoho tsa boemo ba liphutheloana li behiloe leihlo ho fumana hore na ho kenyelletsoa ka lonya ho e 'ngoe ea lintlafatso tsa software e neng e se na kotsi qalong. Ho beha leihlo ponahalo ea liphutheloana tse ncha libakeng tsa polokelo le ho etsa liphetoho ho liphutheloana tse neng li ngotsoe pele, ho sebelisoa sephutheloana sa Package Feeds, se kopanyang mosebetsi le NPM, PyPI, Go, RubyGems, Packagist, NuGet le Crate repositories.
Package Analysis e kenyelletsa likarolo tse tharo tsa mantlha tse ka sebelisoang hammoho le ka thoko:
- Kemiso ea ho qala mosebetsi oa tlhahlobo ea sephutheloana o ipapisitse le data e tsoang ho Package Feeds.
- Mohlahlobi ea hlahlobang sephutheloana ka kotloloho mme a lekola boitšoaro ba sona a sebelisa tlhahlobo e tsitsitseng le mekhoa e matla ea ho latela. Teko e etsoa sebakeng se ka thōko.
- Sesebelisoa se behang liphetho tsa liteko polokelong ea BigQuery.
Source: opennet.ru