返回网站首页
当前位置:主页 > 大连第三方检测 >
中科院软件所开源生态“投毒”检测获进展 发现8个Python恶意包
作者:admin  日期:2022-06-21 14:58 来源:未知 浏览:

  央广网北京6月20日消息(记者卜叶)开源生态“投毒”攻击是指攻击者利用软件供应商与最终用户之间的信任关系,在合法软件的开发、传播和升级过程中进行劫持或篡改,从而达到非法目的的攻击类型。许多开源软件存储库在设计时强调方便快捷,忽略恶意代码检测机制,导致开源生态“投毒”攻击现象愈加严重。

  近日,中国科学院软件研究所基于开源软件供应链重大基础设施,实现了面向全网针对开源生态“投毒”攻击现象的持续监测,在开源软件存储库进行恶意扩展包检测中,发现Python官方扩展包仓库被恶意上传了8个恶意包及707个被“投毒”成功的开源项目。

  对于Python恶意包的检测,科研团队使用开源软件供应链重大基础设施的恶意包分析工具进行检测,现已检测出Python官方扩展包仓库上传了8个恶意包,其中包含恶意代码,存在巨大的安全隐患,包括窃取隐私信息、数字货币密钥、种植持久化后门、远程控制等一系列攻击活动。研究团队将在Python平台发现的8个恶意包上报给PyPI官方,并收到PyPI官方感谢信。

  对于第三方插入的代码执行后门的扩展包的检测,研究通过开源软件供应链重大基础设施的供应链分析模块进行检测。检测发现707个被“投毒”成功的开源项目,其中85个发布在Python官方扩展包仓库,622个发布在Github、GitLab等公共代码托管平台。同时,该团队正将707个被“投毒”成功的开源项目反馈给国家信息安全漏洞共享平台与国家信息安全漏洞库等安全漏洞管理机构,其中17漏洞现已获得正式编号。

  看似皆大欢喜,实际上并非如此,也会带来一系列弊端,如想“扬招”出租车更加困难,会出现变相拒载、违规加价、影响正常驾驶等情况。而要解决这些问题,首先就应找出打车软件火爆背后的深层次原因。可如果出租车紧缺的情况没有根本改变,一部分人打车确实更方便了,但却是以另一部分人打车更不方便为代价的。

  据经济之声《天下财经》报道,有消费者反映,市面上不少号称存储容量8G、16G、32G的手机,真正使用起来却“缺斤少两”,很多存储空间早就被操作系统和预装软件所占用。

  5月21日,BSA软件联盟与全球领先的商学院之一欧洲工商管理学院(INSEAD)共同开展的《竞争优势:正版软件的经济影响》分析报告在京出炉。此分析报告表明:正版软件的使用量每增加1%,会产生44亿美元的国民产值;而同样情况下,盗版软件仅能带动22亿美元。

  近日,中国科学院软件研究所实现了面向全网针对开源生态“投毒”攻击现象的持续监测,在开源软件存储库进行恶意扩展包检测中,发现Python官方扩展包仓库被恶意上传了8个恶意包及707个被“投毒”成功的开源项目。澳门六彩资料网站管家婆

上一篇:济宁scrm怎么样
下一篇:大连市房屋安全检测鉴定(第三方单位)