2022年04月08日
今年对确保开源生态系统的完整性和安全性提出了更大的挑战。开源对开发者来说有非常大的好处,因为几乎任何人都可以免费地使用和定制它,并为社区做出贡献。这种能够确保更大透明度、安全性和促进开发人员跨项目协作的方式,也为对手从中获利铺平了道路。作为一名安全研究人员,我在今年遇到并分析了700多个被植入了的RubyGems软件包,除了挖掘比特币之外没有任何其他用途。还有一个很受欢迎的例子是章鱼扫描仪,这是一种恶意软件,它已经悄悄地把它的触角注入到了至少26个GitHub项目当中。这些事件强调了这样一