OpenSSF (Open Source Security Foundation), லினக்ஸ் அறக்கட்டளையால் உருவாக்கப்பட்டது மற்றும் திறந்த மூல மென்பொருளின் பாதுகாப்பை மேம்படுத்துவதை நோக்கமாகக் கொண்டது, திறந்த திட்ட தொகுப்பு பகுப்பாய்வு அறிமுகப்படுத்தப்பட்டது, இது தொகுப்புகளில் தீங்கிழைக்கும் குறியீடு இருப்பதை பகுப்பாய்வு செய்வதற்கான அமைப்பை உருவாக்குகிறது. திட்டக் குறியீடு Go இல் எழுதப்பட்டு Apache 2.0 உரிமத்தின் கீழ் விநியோகிக்கப்படுகிறது. முன்மொழியப்பட்ட கருவிகளைப் பயன்படுத்தி NPM மற்றும் PyPI களஞ்சியங்களின் பூர்வாங்க ஸ்கேன், முன்னர் கண்டறியப்படாத 200 க்கும் மேற்பட்ட தீங்கிழைக்கும் தொகுப்புகளை அடையாளம் காண அனுமதித்தது.
அடையாளம் காணப்பட்ட சிக்கலான தொகுப்புகளில் பெரும்பாலானவை, திட்டங்களின் உள் பொது அல்லாத சார்புகளுடன் பெயர்களின் குறுக்குவெட்டைக் கையாளுகின்றன (சார்பு குழப்பம் தாக்குதல்) அல்லது தட்டச்சு முறைகளைப் பயன்படுத்துகின்றன (பிரபலமான நூலகங்களின் பெயர்களைப் போன்ற பெயர்களை வழங்குதல்), மேலும் வெளிப்புற ஹோஸ்ட்களை அணுகும் ஸ்கிரிப்ட்களை அழைக்கவும். நிறுவல் செயல்முறை. பேக்கேஜ் பகுப்பாய்வின் உருவாக்குநர்களின் கூற்றுப்படி, கண்டறியப்பட்ட சிக்கல் நிறைந்த தொகுப்புகளில் பெரும்பாலானவை பிழை பவுண்டி திட்டங்களில் பங்கேற்கும் பாதுகாப்பு ஆராய்ச்சியாளர்களால் உருவாக்கப்பட்டிருக்கலாம். அவர்களின் நடத்தையை மறைக்கவும்.
தீங்கிழைக்கும் செயல்பாடு கொண்ட தொகுப்புகள் பின்வருமாறு:
- PyPI தொகுப்பு discordcmd, இது raw.githubusercontent.com, Discord API மற்றும் ipinfo.io ஆகியவற்றிற்கு வித்தியாசமான கோரிக்கைகளை அனுப்புவதை பதிவு செய்கிறது. குறிப்பிடப்பட்ட தொகுப்பு GitHub இலிருந்து பின்கதவு குறியீட்டைப் பதிவிறக்கம் செய்து டிஸ்கார்ட் விண்டோஸ் கிளையன்ட் கோப்பகத்தில் நிறுவியது, அதன் பிறகு அது கோப்பு முறைமையில் டிஸ்கார்ட் டோக்கன்களைத் தேடி, தாக்குபவர்களால் கட்டுப்படுத்தப்படும் வெளிப்புற டிஸ்கார்ட் சேவையகத்திற்கு அனுப்பும் செயல்முறையைத் தொடங்கியது.
- colorss NPM தொகுப்பு டிஸ்கார்ட் கணக்கிலிருந்து வெளிப்புற சேவையகத்திற்கு டோக்கன்களை அனுப்ப முயற்சித்தது.
- NPM தொகுப்பு @roku-web-core/ajax - நிறுவல் செயல்பாட்டின் போது அது கணினியைப் பற்றிய தரவை அனுப்பியது மற்றும் வெளிப்புற இணைப்புகளை ஏற்றுக்கொண்டு கட்டளைகளைத் தொடங்கும் ஹேண்ட்லரை (ரிவர்ஸ் ஷெல்) அறிமுகப்படுத்தியது.
- PyPI தொகுப்பு secrevthree - ஒரு குறிப்பிட்ட தொகுதியை இறக்குமதி செய்யும் போது ஒரு தலைகீழ் ஷெல் தொடங்கப்பட்டது.
- NPM தொகுப்பு random-vouchercode-generator - நூலகத்தை இறக்குமதி செய்த பிறகு, அது ஒரு வெளிப்புற சேவையகத்திற்கு ஒரு கோரிக்கையை அனுப்பியது, இது கட்டளை மற்றும் அதை இயக்க வேண்டிய நேரத்தை திருப்பி அனுப்பியது.
தொகுப்பு பகுப்பாய்வின் பணியானது பிணைய இணைப்புகளை நிறுவுதல், கோப்புகளை அணுகுதல் மற்றும் கட்டளைகளை இயக்குதல் ஆகியவற்றிற்கான மூலக் குறியீட்டில் உள்ள குறியீடு தொகுப்புகளை பகுப்பாய்வு செய்வதாகும். கூடுதலாக, ஆரம்பத்தில் பாதிப்பில்லாத மென்பொருளின் வெளியீடுகளில் ஒன்றில் தீங்கிழைக்கும் செருகல்களைச் சேர்ப்பதைத் தீர்மானிக்க, தொகுப்புகளின் நிலையில் மாற்றங்கள் கண்காணிக்கப்படுகின்றன. களஞ்சியங்களில் புதிய தொகுப்புகளின் தோற்றத்தைக் கண்காணிக்கவும், முன்னர் இடுகையிடப்பட்ட தொகுப்புகளில் மாற்றங்களைச் செய்யவும், NPM, PyPI, Go, RubyGems, Packagist, NuGet மற்றும் Crate களஞ்சியங்களுடன் பணியை ஒருங்கிணைக்கும் தொகுப்பு ஊட்டங்கள் கருவித்தொகுப்பு பயன்படுத்தப்படுகிறது.
தொகுப்பு பகுப்பாய்வு மூன்று அடிப்படை கூறுகளை உள்ளடக்கியது, அவை ஒன்றாகவும் தனித்தனியாகவும் பயன்படுத்தப்படலாம்:
- தொகுப்பு ஊட்டங்களிலிருந்து தரவின் அடிப்படையில் தொகுப்பு பகுப்பாய்வு பணியைத் தொடங்குவதற்கான திட்டமிடுபவர்.
- நிலையான பகுப்பாய்வு மற்றும் டைனமிக் டிரேசிங் நுட்பங்களைப் பயன்படுத்தி ஒரு தொகுப்பை நேரடியாக ஆய்வு செய்து அதன் நடத்தையை மதிப்பிடும் பகுப்பாய்வி. தனிமைப்படுத்தப்பட்ட சூழலில் சோதனை மேற்கொள்ளப்படுகிறது.
- சோதனை முடிவுகளை BigQuery சேமிப்பகத்தில் வைக்கும் ஏற்றி.
ஆதாரம்: opennet.ru