在线不卡日本ⅴ一区v二区_精品一区二区中文字幕_天堂v在线视频_亚洲五月天婷婷中文网站

    

  • <menu id="lky3g"></menu>
    • <style id="lky3g"></style>

    <pre id="lky3g"><tt id="lky3g"></tt></pre>
    中科院軟件所開源生態(tài)“投毒”檢測獲進展 發(fā)現(xiàn)8個Python惡意包
      ? 社會
    央廣網(wǎng)北京6月20日消息(記者卜葉)開源生態(tài)“投毒”攻擊是指攻擊者利用軟件供應商與最終用戶之間的信任關系,在合法軟件的開發(fā)、傳播和升級過程中進行劫持或篡改,從而達到非法目的的攻擊類型。許多開源軟件存儲庫在設計時強調方便快捷,忽略惡意代碼檢測機制,導致開源生態(tài)“投毒”攻擊現(xiàn)象愈加嚴重。
    近日,中國科學院軟件研究所基于開源軟件供應鏈重大基礎設施,實現(xiàn)了面向全網(wǎng)針對開源生態(tài)“投毒”攻擊現(xiàn)象的持續(xù)監(jiān)測,在開源軟件存儲庫進行惡意擴展包檢測中,發(fā)現(xiàn)Python官方擴展包倉庫被惡意上傳了8個惡意包及707個被“投毒”成功的開源項目。
    對于Python惡意包的檢測,科研團隊使用開源軟件供應鏈重大基礎設施的惡意包分析工具進行檢測,現(xiàn)已檢測出Python官方擴展包倉庫上傳了8個惡意包,其中包含惡意代碼,存在巨大的安全隱患,包括竊取隱私信息、數(shù)字貨幣密鑰、種植持久化后門、遠程控制等一系列攻擊活動。研究團隊將在Python平臺發(fā)現(xiàn)的8個惡意包上報給PyPI官方,并收到PyPI官方感謝信。
    對于第三方插入的代碼執(zhí)行后門的擴展包的檢測,研究通過開源軟件供應鏈重大基礎設施的供應鏈分析模塊進行檢測。檢測發(fā)現(xiàn)707個被“投毒”成功的開源項目,其中85個發(fā)布在Python官方擴展包倉庫,622個發(fā)布在Github、GitLab等公共代碼托管平臺。同時,該團隊正將707個被“投毒”成功的開源項目反饋給國家信息安全漏洞共享平臺與國家信息安全漏洞庫等安全漏洞管理機構,其中17漏洞現(xiàn)已獲得正式編號。
    鄭重聲明:本文內容及圖片均整理自互聯(lián)網(wǎng),不代表本站立場,版權歸原作者所有,如有侵權請聯(lián)系管理員(admin#wlmqw.com)刪除。
     
     
      上一篇 2022年6月21日 18:15
     
     下一篇  2022年6月21日 18:15
    相關推薦
     
    聯(lián)系我們
    聯(lián)系郵箱:admin#wlmqw.com
     工作時間:周一至周五,10:30-18:30,節(jié)假日休息