三成热门的PyPI软件包被误标签是恶意软件包
|
根据调查人员所发现的,扫描工具原本负责清除通过流行的开源代码存储库PyPI分发的软件包所含的恶意代码,实际上却生成大量的误警报。 PyPI是面向用Python编写的应用程序中使用的软件组件的主要代码库,Chainguard公司分析PyPI后发现,这种方法只揪出了59%的恶意软件包,但也误标了三分之一流行的合法Python软件包和15%的随机选择的软件包。 Chainguard的研究人员在周二的分析报告中表示,研究工作旨在创建一个数据集,以便Python维护人员和PyPI代码库可以用来确定其系统在扫描项目、查找恶意更改和供应链攻击方面的效果。 数百个软件包在研究中触发了警报,虽然研究人员进行了一些抽查,但仅仅快速查看不足以确定某个软件包是否是恶意的——这就是为什么恶意软件检测工具如此重要。代码存储库管理员令人同情,他们平均每周十一点左右要小心翼翼地面对比这多出差不多十倍的警报。 为了确保实用性,扫描工具需要将误报率降低到0.01%左右,哪怕以遗漏一些恶意软件包为代价。 研究人员表示,流行软件包和随机选择的软件包都被认为是合法的。此外,区块链流行项目团队可能要求有更高的安全性,并遵守区块链技术编程方面的国际标准的最佳实践。 在过去这几年,针对软件供应链的攻击有增无减。仅仅在过去一个月,安全公司卡巴斯基就在Node Package Manager(npm)代码存储库中发现了恶意软件,而安全公司Check Point和Snyk发现了托管在PyPI存储库服务上的十多个恶意软件包。 此外,意大利的一名学龄儿童向PyPI上传了多个含有勒索软件脚本的恶意Python软件包,据称此举纯属试验。这些恶意软件包被发现后,立即通过网络传播,造成大量用户中招。截至目前,已有超过100万人受到影响。 (编辑:银川站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
