OpenSSF、オープンソースパッケージ解析「package-analysis」のプロトタイプを初公開

末岡洋子
シェア

 Open Source Security Foundation(OpenSSF)は4月28日、オープンソースパッケージ解析プロジェクト「package-analysis」の初のプロトタイプを公開した。

 Open Source Security Foundation(OpenSSF)はオープンソースソフトウェアのサプライチェーン問題など、セキュリティ向上に取り組むグループ。2020年に設立され、Linux Foundation傘下のプロジェクトとして運営されている。package-analysisは悪意あるソフトウェアなどがオープンソースパッケージに含まれていないかを解析するためのコンポーネント集。

 オープンソースリポジトリで利用できるパッケージの振る舞いや機能を理解するもので、どのファイルにアクセスしているのか、どのアドレスにコネクトするのか、どんなコマンドを走らせているのかなどを調べる。また、パッケージの振る舞いがどのように変化したのかを追跡し、安全だったソフトウェアが疑わしい振る舞いを始めたことも認識できるという。実際に、package-analysisを使って、わずか1ヶ月で200件もの悪意あるパッケージがPyPIとnpmにアップロードされたことを検出したという。悪意あるパッケージの多くは、依存性かく乱攻撃やタイポスクワッティング攻撃だと報告している。

 package-analysisはプロジェクトのWebサイトより入手できる。ライセンスはApache License 2。OpenSSFは5月9日、SUSE、F5 Networksなど15社のメンバーが新たに加わったことも発表している。

Open Source Security Foundation(OpenSSF)
https://openssf.org