OpenSSF 开源的“包分析”工具发现了大量恶意 npm、PyPI 包-低调大师

OpenSSF 开源的“包分析”工具发现了大量恶意 npm、PyPI 包

2022-05-02 544

由 Linux 基金会提供支持的开源安全基金会 (OpenSSF) 发布了一个 Package Analysis —— “包分析”工具，该工具可以识别各类恶意软件，捕捉和对抗对开源注册表的恶意攻击。

Package Analysis 项目旨在了解开源存储库中可用包的行为和功能：它们访问哪些文件、连接到哪些地址以及运行哪些命令。

该项目还跟踪包的行为随时间的变化，以确定以前安全的软件何时开始出现可疑行为。

据 OpenSSF称，在持续不到一个月的测试运行中，Package Analysis 已经能够识别出 200 多个恶意 PyPI 和 npm 组件。绝大多数恶意包都是依赖混淆和仿冒攻击。比如 “colorsss” npm 包，据外媒 bleepingcomputer 介绍，“colorsss” 包是流行的 "colors" npm 库的仿冒域名，但除了包含来自 colors 库的一些合法文件外，恶意的“colorsss”包还包含混淆的恶意软件：

如图所示，“colorsss”中的混淆代码包含 Discord 令牌窃取程序，这是非常常用的恶意软件。

OpenSSF 在本周发布的一篇博文中表示：“尽管该项目已经开发了一段时间，但直到最近根据初步经验进行了大量修改后才变得有用。” 而该 Package Analysis 工具下一步的优化计划如下：

随着时间的推移，检测包行为的差异；
自动处理包分析结果；
在处理包时，存储包本身以进行长期分析；
提高管道的可靠性。

微信关注我们

原文链接：https://www.oschina.net/news/193958/open-source-package-analysis-tool

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

Hippo4J —— 动态可观测线程池框架

Hippo4J 是一个强大的动态线程池，附带监控报警功能，内置两种使用模式：轻量级依赖配置中心以及无中间件依赖版本。基于美团动态线程池设计理念开发，针对线程池增强动态调参、监控、报警功能。通过 Web 控制台对线程池参数进行动态调整，支持集群内线程池的差异化配置。内置线程池参数变更通知，以及运行过载报警功能（支持多通知平台）。按照租户、项目、线程池的维度划分，配合系统权限，让不同的开发、管理人员负责自己系统的线程池。 1.1.0 版本发布后，Hippo4J 分为两种使用模式：轻量级依赖配置中心以及无中间件依赖版本。 hippo4j-core 轻量级动态线程池管理，依赖 Apollo、Nacos、Zookeeper 等三方配置中心（任选其一）完成线程池参数动态变更，支持运行时报警、监控等功能。监控功能配置详见：线程池监控 hippo4j-server 部署 hippo4j-server 服务，通过可视化 Web 界面完成线程池的创建、变更以及查看，不依赖三方中间件。相比较 hippo4j-core，功能会更强大，但同时也引入了一定的复杂性。需要部署一个 Java 服务，以及依赖 ...

2022-05-02

1380

与每个主要的 GCC 版本一样，即将于本周发布的GCC 12.1带来了许多新特性、改进和 bug 修复。Red Hat 的 Marek Polacek 在最新的一篇博客文章中，概述了在这个主要的 GNU Compiler Collection 更新中带来的一些 C++ 语言改进。 Polacek 指出，在 GCC 12 中共实现了几个 C++23 提案。GCC 12 的默认方言是 -std=gnu++17；要启用 C++23 特性，需要使用 -std=c++23 或 -std=gnu++23 命令行选项，后一个选项允许 GNU 扩展。不过值得注意的是，C++20 和 C++23 功能在 GCC 12 中仍然是试验性的。根据介绍，GCC 12 实现了 C++23 的 if consteval、auto(x)、constexpr 函数中的非字面变量、多维下标操作符、elifdef 和 elifndef 预处理指令、扩展的 init-statement、trivial functions 的折叠等功能。同时，GCC 12 还引入了各种新的和改进的编译器警告，提供了静态分析器改进和更多功能。...

2022-05-02

786

资源下载

更多资源

Mario

马里奥是站在游戏界顶峰的超人气多面角色。马里奥靠吃蘑菇成长，特征是大鼻子、头戴帽子、身穿背带裤，还留着胡子。与他的双胞胎兄弟路易基一起，长年担任任天堂的招牌角色。

Nacos

Nacos /nɑ:kəʊs/ 是 Dynamic Naming and Configuration Service 的首字母简称，一个易于构建 AI Agent 应用的动态服务发现、配置管理和AI智能体管理平台。Nacos 致力于帮助您发现、配置和管理微服务及AI智能体应用。Nacos 提供了一组简单易用的特性集，帮助您快速实现动态服务发现、服务配置、服务元数据、流量管理。Nacos 帮助您更敏捷和容易地构建、交付和管理微服务平台。

Rocky Linux

Rocky Linux（中文名：洛基）是由Gregory Kurtzer于2020年12月发起的企业级Linux发行版，作为CentOS稳定版停止维护后与RHEL（Red Hat Enterprise Linux）完全兼容的开源替代方案，由社区拥有并管理，支持x86_64、aarch64等架构。其通过重新编译RHEL源代码提供长期稳定性，采用模块化包装和SELinux安全架构，默认包含GNOME桌面环境及XFS文件系统，支持十年生命周期更新。

Sublime Text

Sublime Text具有漂亮的用户界面和强大的功能，例如代码缩略图，Python的插件，代码段等。还可自定义键绑定，菜单和工具栏。Sublime Text 的主要功能包括：拼写检查，书签，完整的 Python API ， Goto 功能，即时项目切换，多选择，多窗口等等。Sublime Text 是一个跨平台的编辑器，同时支持Windows、Linux、Mac OS X等操作系统。