研究人员发现,扫描工具原本负责清除通过流行的开源代码存储库PyPI分发的软件包所含的恶意代码,实际上却生成大量的误警报。
PyPI是面向用Python编写的应用程序中使用的软件组件的主要代码库,Chainguard公司分析PyPI后发现,这种方法只揪出了59%的恶意软件包,但也误标了三分之一流行的合法Python软件包和15%的随机选择的软件包。
Chainguard的研究人员在周二的分析get="_blank">报告中表示,研究工作旨在创建一个数据集,以便Python维护人员和PyPI代码库可以用来确定其系统在扫描项目、查找恶意更改和供应链攻击方面的效果。
参与这项研究的Chainguard高级软件工程师Zack Newman表示,虽然现有方法可以检测出大多数恶意软件,但显然需要重大改进,那样才能防止误警报浪费项目经理的时间。
他表示,这些是还有其他工作要做的志愿者,而不是愿意整天搜索可疑代码的安全研究人员。他们格外关注PyPI的安全性,不遗余力地改善这种情况,但眼下收效甚微。
误报是许多软件分析工具的祸根,因此也是安全团队的祸根。即使某个系统能做到百分之百准确地发现恶意软包,如果其误报率为1%,假设每周发布的20000个PyPI软件包中只要有一个是恶意软件包,那么开发人员和应用程序安全专业人员仍然每周需要处理200个假警报。
数百个软件包在研究中触发了警报,虽然研究人员进行了一些抽查,但仅仅快速查看不足以确定某个软件包是否是恶意的——这就是为什么恶意软件检测工具如此重要。代码存储库管理员令人同情,他们每周要面对比这多出十倍的警报。
为了确保实用性,扫描工具需要将误报率降低到0.01%左右,哪怕以遗漏一些恶意软件包为代价。
PyPI的恶意软件扫描方法
PyPI旨在通过以两种方式检查软件包和项目来阻止软件供应链攻击。PyPI使用签名扫描软件包的setup.py文件,以检测可能表明含有恶意功能的已知的可疑模式——签名用YARA规则表示,这是一种创建恶意软件签名的行业标准。YARA的全称是Yet Another Recursive Acronym,与其说是描述性名称,不如说是行业内部的戏称。此外,代码存储库的扫描工具会分析提交项目和贡献者,查找可能表明恶意代码的可疑更改。
研究人员使用168个针对PyPI代码存储库的已知恶意攻击示例构建了数据集。然后,他们创建了第二个数据集,含有1000个下载次数最多的软件包和1000个导入次数最多的软件包;他们消除重复项后,最后得到了1430个流行软件包。另外,他们还创建了一个随机选择的1000个软件包组成的数据集,由于14个软件包没有任何Python代码,最后得到的是986个随机的Python软件包。
研究人员表示,流行软件包和随机选择的软件包都被认为是合法的。此外,流行项目可能有更高的安全性,并遵守编程方面的最佳实践。
研究人员在周二发布的分析报告中写道:“虽然其中一些软件包可能是恶意软件包,但之外的大部分软件包是恶意软件包的可能性微乎其微。重要的是,这些软件包更有可能代表从 PyPI随机选择的软件包。”
开源软件存储库仍然是网络犯罪活动的目标
当下,应用程序安全专业人员和软件开发人员在想方设法为构成普通程序中78%代码的开源软件组件确保安全性。
开源安全基金会(OpenSSF)已采取了多项举措,以提高开源软件供应链的安全性,包括确定需要更严格安全审查的最关键的软件包,以及支持采用SigStore,这个项目通过加密方法将源代码与已编译的软件包关联起来。
在过去这几年,针对软件供应链的攻击有增无减。仅仅在过去一个月,安全公司卡巴斯基就在Node Package Manager(npm)代码存储库中发现了恶意软件,而安全公司Check Point和Snyk发现了托管在PyPI存储库服务上的十多个恶意软件包。
此外,意大利的一名学龄儿童向PyPI上传了多个含有勒索软件脚本的恶意Python软件包,据称此举纯属试验。
不太可能只有PyPI出现有问题的扫描结果。展望未来,Chainguard研究人员计划扩大分析范围,评估至少四款开源软件恶意软件分析工具,比如OSSGadget Detect Backdoor、bandit4ma和OSSF Package Analysis,并将PyPI Malware Checks规则转换成SemGrep,后者是一款多语言开源静态代码分析工具。
有哪些泰国言情剧比较好看?
呀,你看了出逃的公主啊,那我推荐你看《我是你的眼睛》 男女主角和出逃的公主一样的,男主角是一个超富裕的人,然而一开始女主角误以为他是一个很可怜的小渔夫,还买了东西去小茅屋看他,喊了半天无人应答,呵呵,其实人家住在小茅屋旁边的别墅里呢!男主角后来居然利用女主角的善良,把她骗来把婚给结了,女主角就这么掉进了圈套里,结了婚之后才发现,哇塞。 。 。 原来他是个大富翁。 我觉得最搞笑的地方是:男主角后来把眼睛治好了,但是却装做没治好,常常借眼瞎处处占女主角便宜,然后自己偷偷的笑。 呵呵。 。 。 这个片很搞笑的,强烈推荐你去看。
用READ修复工具.exe修复时出现问题,如图,怎么办
朋友,这是你的电脑“丢失”或“误删”了“系统文件”,或“系统文件”被病 毒和“顽固”木马“破坏”,我给你8套方案! (答案原创,严禁盗用,如有雷同,纯属山寨!) (提示:360急救箱不能联网,就先用:(5)网络修复,重启电脑,或者使用:离网模式) 1.下载个:“360系统急救箱”!(安全模式下,联网使用,效果更好!) (注意:已经安装了“360安全卫士”的朋友,直接打开“木马云查杀”, 点击:快速扫描,扫描结束后,中间有:没有问题,请用360急救箱,点击它!) 【1】先点:“开始急救”查杀病毒,删除后,“立即重启”! 【2】重启开机后,再点开“文件恢复”,全选,点:“彻底删除文件”和“可 疑自启动项”! 【3】再点开“系统修复”,“全选”,再“立即修复”文件! 【4】再点开:“dll文件恢复”,扫描一下,如果没有就行了,如果有丢失,添 加恢复,手动添加,立即恢复! 【5】点开:“网络修复”,点:“开始修复”,重启电脑! 2。 用“360安全卫士”里“系统修复”,点击“使用360安全网址导航”,再 “全选”,“一键修复”! 3。 用“360安全卫士”的“扫描插件”,然后再“清理插件”,把它删除! 4。 再用“360杀毒双引擎版”,勾选“自动处理扫描出的病毒威胁”,用“全盘 扫描”和“自定义扫描”,扫出病毒木马,再点删除! 重启电脑后,来到“隔离区”,点“彻底删除”! 5。 使用360安全卫士的“木马云查杀”,全盘扫描,完毕再“自定义扫描”! 扫出木马或恶意病毒程序,就点删除! 重启电脑后,来到“隔离区”,点“彻底删除”! 6。 如果还是不行,试试:“金山急救箱”的扩展扫描和“金山网盾”,一键修 复!或者:可牛免费杀毒,浏览器医生,浏览器修复,立即扫描,立即修复! 7。 再不行,重启电脑,开机后,按F8,回车,回车,进到“安全模式”里, “高级启动选项”里,“最后一次正确配置”,按下去试试,看看效果! 8。 实在不行,做“一键还原”系统!(方法:我的网络空间的博客里有)
机器视觉光源
机器视觉光源是机器视觉系统极为关键的部分之一,直接影响图片质量的好坏,关系到系统的成败,其重要性无论如何强调都不过分。 机器视觉系统的核心部分是图像的采集(如何得到一幅好的图片)和图像的处理(如何找到最优效率、最准确的算法)所有的信息均来源于图像,图像质量对整个视觉系统极为关键。 目前视觉行业中用于图像处理的软件,大多只是一些图像处理软件公司提供的软件包。 在处理软件性能差异很微小的情况下,如何稳定、连续的获取好的图片将直接决定系统的稳定性。 而获得更好的图片的途径:根据工件的特性和现场的环境,通过打光实验,进行准确的光源选择,进而保证获取图片的稳定性和连续性。 所以照明系统是及其视觉系统最为关键的部分之一,直接关系到系统的成败,其重要性无论如何强调都是不过分的。 机器视觉中的光源主要起到如下的作用:1、照亮目标,提高亮度2、形成有利于图像处理的效果3、克服环境光干扰,保证图像稳定性4、用作测量的工具或参照物一幅好的图像应该具备如下条件:1、对比度明显,目标与背景的边界清晰2、背景尽量淡化而且均匀,不干扰图像处理3、与颜色有关的还需要颜色真实,亮度适中,不过度曝光
发表评论