中科院软件所开源生态投毒检测获进展
网络新闻 2022-06-21 10:07www.168986.cn长沙seo优化
开源生态“投毒”攻击是指攻击者利用软件供应商与最终用户之间的信任关系,在合法软件的开发、传播和升级过程中进行劫持或篡改,从而达到非法目的的攻击类型。许多开源软件存储库在设计时强调方便快捷,忽略恶意代码检测机制,导致开源生态“投毒”攻击现象愈加严重。
近日,中国科学院软件研究所基于开源软件供应链重大基础设施,实现了面向全网针对开源生态“投毒”攻击现象的持续监测,在开源软件存储库进行恶意扩展包检测中,发现Python官方扩展包仓库被恶意上传了8个恶意包及707个被“投毒”成功的开源项目。
对于Python恶意包的检测,科研团队使用开源软件供应链重大基础设施的恶意包分析工具进行检测,现已检测出Python官方扩展包仓库上传了8个恶意包,其中包含恶意代码,存在巨大的安全隐患,包括窃取隐私信息、数字货币密钥、种植持久化后门、远程控制等一系列攻击活动。研究团队将在Python平台发现的8个恶意包上报给PyPI官方,并收到PyPI官方感谢信。
对于第三方插入的代码执行后门的扩展包的检测,研究通过开源软件供应链重大基础设施的供应链分析模块进行检测。检测发现707个被“投毒”成功的开源项目,其中85个发布在Python官方扩展包仓库,622个发布在Github、GitLab等公共代码托管平台。,该团队正将707个被“投毒”成功的开源项目反馈给国家信息安全漏洞共享平台与国家信息安全漏洞库等安全漏洞管理机构,其中17漏洞现已获得正式编号。
上一篇:王心凌翻牌鸿星尔克,再引野性消费潮
下一篇:被美团围剿的餐饮巨头
长沙网络推广
- 人工智能十大算法 人工智能十大算法遗传算法
- 科学的三个本质特征
- ai人工智能是什么行业 ai人工智能是什么东西_
- 科学的三个本质特征 科学的本质有哪些
- 100个有趣的科学小实验 有趣味的科学小实验
- icp备案查询官网 icp许可证办理官网
- 科学的三要素是什么 科学的三要素及其内容
- 简单科学小实验 简单科学小实验视频
- ai人工智能的好处 ai人工智能的好处及生活应用
- 科学的简单定义 科学的定义及其三个属性
- 100个有趣的科学问题 100个科学小问题
- 人工智能技术有哪些 人工智能技术有哪些新的科
- 人工智能包括几个方面 人工智能包括哪些方面内
- 科学概念名词解释 名次解释科学
- 镇江高防服务器 镇江高防服务器价格
- 云服务器出租 云服务器gpu租用