Регистрации индексов индексов NPM и Python, которые помогают сделать JavaScript и Python популярными, продуктивными и веселыми языками программирования в последние годы, стали жертвами злонамеренных атак. Например, индекс пакета Python (PYPI) пострадал десятки атак, в том числе ПРОВОРМАЦИЯ АТАТЫ в котором злоумышленник имитирует название популярного пакета, чтобы обмануть разработчиков в загрузке вредоносных программ.
Чтобы уменьшить количество и влияние этих атак на экосистемы JavaScript и Python, заинтересованные разработчики могут предпринять ряд действий. (Для более длинного списка см. Это сообщение в блоге .)
Подумайте о том, чтобы внести свои таланты в проекты, которые стремятся повысить безопасность этих реестров. Один проект, который стоит вашего внимания, – Аура , инструмент аудита исходного кода Python и статический анализ. Для тех, кто хочет изучить проблемы обнаружения вредоносных программ Python, идентифицированные как важные в программном обеспечении Python, см. Здесь Анкет Рассмотрим вклад в кодовую базу индекса пакета Python, AKA Склад Анкет
Для тех, кто заинтересован в непосредственной идентификации вредоносных пакетов, вам необходимо создать сканеры реестра, а затем проанализировать результаты, сообщая о любом вредоносном ПО. Одно прошлое усилие – PYPI-Scan , но я с нетерпением жду будущего, более способных сканеров в будущем!
Присоединяйтесь к собраниям рабочей группы Фонд безопасности с открытым исходным кодом , или openssf. Это сообщество, посвященное обеспечению безопасности программного обеспечения с открытым исходным кодом.
Что бы вы ни делали, помните, что эти экосистемы зависят от безопасности для их дальнейшего здоровья. Так что подумайте о том, чтобы сделать свою роль!
Оригинал: “https://dev.to/jspeedmeyers/ever-npm-pip-installed-malware-a-modest-call-for-action-2kfa”