Die Open Source Security Foundation (OpenSSF) hat den ersten Prototyp eines neuen Tools angekündigt, das eine dynamische Analyse aller Pakete durchführen kann, die in beliebte Open-Source-Repositories hochgeladen werden.
Das Package Analysis Project soll Open-Source-Pakete absichern, indem es bösartiges Verhalten erkennt und die Nutzer/innen darauf aufmerksam macht. Ziel ist es, die Sicherheit der Software-Lieferkette zu erhöhen und das Vertrauen in Open-Source-Software zu stärken.
„Das Package Analysis Project versucht, das Verhalten und die Fähigkeiten von Paketen in Open-Source-Repositories zu verstehen: Auf welche Dateien greifen sie zu, mit welchen Adressen verbinden sie sich und welche Befehle führen sie aus“, so das OpenSSF.
„Das Projekt verfolgt auch, wie sich das Verhalten von Paketen im Laufe der Zeit verändert, um festzustellen, wann sich zuvor sichere Software verdächtig verhält“, fügen Caleb Brown und David A. Wheeler von der Stiftung hinzu.
In einem einmonatigen Testlauf hat das Tool mehr als 200 bösartige Pakete identifiziert, die auf PyPI und NPM hochgeladen wurden, wobei die meisten bösartigen Bibliotheken Abhängigkeitsverwirrungen und Typosquatting-Angriffe ausnutzten.
Google, das Mitglied von OpenSSF ist, hat ebenfalls seine Unterstützung für das Projekt Package Analysis bekräftigt und gleichzeitig betont, dass „Pakete, die veröffentlicht werden, überprüft werden müssen, um die Nutzer zu schützen.
Das Open Source Security Team des Tech-Giganten hat im vergangenen Jahr einen neuen Rahmen namens Supply chain Levels for Software Artifacts (SLSA) entwickelt, um die Integrität von Softwarepaketen zu gewährleisten und unbefugte Änderungen zu verhindern.
Die Entwicklung kommt zu einem Zeitpunkt, an dem das Open-Source-Ökosystem zunehmend als Waffe eingesetzt wird, um Entwickler/innen mit einer Vielzahl von Schadprogrammen anzugreifen, darunter Kryptowährungs-Miner und Informationsdiebe.