Package Analysis惡意軟件包分析工具

Package Analysis 是一款識別各類惡意軟件的分析工具，可用于捕捉和對抗對開源注冊表的惡意攻擊。

該工具由開源安全基金會 (OpenSSF)發(fā)布，其中包含一些組件來幫助分析開源的軟件包，特別是尋找惡意軟件。組件包含：

• 調(diào)度程序 —— 從 Package Feeds 為分析工作者創(chuàng)建作業(yè)。
• 分析（one-shot analyze and worker）—— 通過對每個包的靜態(tài)和動態(tài)分析，來收集包行為數(shù)據(jù)。
• 加載程序 —— 將分析結果推送到 BigQuery。

在持續(xù)不到一個月的測試運行中，Package Analysis 已經(jīng)能夠識別出 200 多個惡意 PyPI 和 npm 組件。下一步的優(yōu)化計劃如下：

• 隨著時間的推移，檢測包行為的差異；
• 自動處理包分析結果；
• 在處理包時，存儲包本身以進行長期分析； 
• 提高管道的可靠性。