OpenSSFは、OSSリポジトリに含まれる悪意あるパッケージを特定するという課題に取り組む「Package Analysis」プロジェクトの最初のプロトタイプ版を発表した。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
Open Source Security Foundation(OpenSSF)は2022年4月28日(米国時間)、人気のあるオープンソースソフトウェア(OSS)リポジトリに含まれる悪意あるパッケージを特定するという課題に取り組む、「Package Analysis」プロジェクトの最初のプロトタイプ版を発表した。このプロジェクトでの1カ月の分析によって、「PyPI」「npm」にアップロードされた200以上の悪意あるパッケージを特定したとしている。
OpenSSFは、OSSを通じたイノベーション促進を目指す非営利組織Linux Foundationのプロジェクトだ。オープンソースエコシステムの安全性を高めるために業界を超えたコラボレーションを行う。
Package Analysisは、OSSリポジトリで公開されているパッケージの挙動と機能(「どのファイルにアクセスするか」「どのアドレスに接続するか」「どのコマンドを実行するか」など)を理解することを目指している。「パッケージの挙動が時間とともにどのように変化するか」を追跡し、以前は安全だったソフトウェアが不審な動作を始めた時期の特定にも取り組む。
このプロジェクトは、悪意ある挙動を検出し、パッケージを選択する消費者に情報を提供し、研究者にエコシステムに関するデータを提供することで、OSSのセキュリティを高めることを目的としている。以前から開発されていたが、当初の経験を踏まえた広範な変更を経て、ようやく最近になって実用性を備えるようになってきた。
これまでにPackage Analysisで検出された悪意あるパッケージの大半は、依存関係かく乱攻撃やタイポスクワッティング攻撃を意図したものだ。これらのパッケージは通常、簡単なスクリプトを含んでいる。これらのスクリプトは、パッケージのインストール中に実行され、ホストに関する幾つかの詳細を所定の宛先に送信する。
これらのパッケージは、脆弱(ぜいじゃく)性報奨金を狙うセキュリティ研究者が作成した可能性が高い。これらの大半は、マシン名やユーザー名以外には、意味のあるデータを流出させず、挙動を偽装しようとしないからだ。それでも、こうしたパッケージのいずれかが、もっと有害に動作し、それらをインストールしたユーザーが被害に遭った可能性もある。Package Analysisは、こうした攻撃の防止に役立つ機能を提供する。
Package Analysisは、OpenSSFのSecuring Critical Projects Working Groupが進めている取り組みの一つ。OpenSSFは「SLSA」「Sigstore」など、パッケージ自体のセキュリティにとどまらず、サプライチェーン全体を通じたパッケージの完全性確保を目指している。
Copyright © ITmedia, Inc. All Rights Reserved.