OpenSSF、悪意あるOSSパッケージを検出する「Package Analysis」プロジェクトを発表1カ月の分析で200以上の悪意あるパッケージを特定

OpenSSFは、OSSリポジトリに含まれる悪意あるパッケージを特定するという課題に取り組む「Package Analysis」プロジェクトの最初のプロトタイプ版を発表した。

» 2022年05月19日 10時50分 公開
[@IT]

この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。

 Open Source Security Foundation(OpenSSF)は2022年4月28日(米国時間)、人気のあるオープンソースソフトウェア(OSS)リポジトリに含まれる悪意あるパッケージを特定するという課題に取り組む、「Package Analysis」プロジェクトの最初のプロトタイプ版を発表した。このプロジェクトでの1カ月の分析によって、「PyPI」「npm」にアップロードされた200以上の悪意あるパッケージを特定したとしている。

 OpenSSFは、OSSを通じたイノベーション促進を目指す非営利組織Linux Foundationのプロジェクトだ。オープンソースエコシステムの安全性を高めるために業界を超えたコラボレーションを行う。

Package Analysisとは

 Package Analysisは、OSSリポジトリで公開されているパッケージの挙動と機能(「どのファイルにアクセスするか」「どのアドレスに接続するか」「どのコマンドを実行するか」など)を理解することを目指している。「パッケージの挙動が時間とともにどのように変化するか」を追跡し、以前は安全だったソフトウェアが不審な動作を始めた時期の特定にも取り組む。

 このプロジェクトは、悪意ある挙動を検出し、パッケージを選択する消費者に情報を提供し、研究者にエコシステムに関するデータを提供することで、OSSのセキュリティを高めることを目的としている。以前から開発されていたが、当初の経験を踏まえた広範な変更を経て、ようやく最近になって実用性を備えるようになってきた。

悪意あるパッケージは具体的に何をするのか?

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。