目录
野外的恶意包
近期针对 npm 生态系统的供应链攻击(如 Shai-Hulud 和 S1ngularity 活动)在开发者和安全工程社区引发了严重关切。检测开源包中的恶意代码是一个复杂问题,需要采取多层方法。我们一直在利用以下手段开展这项工作:
在应对这一复杂性的同时,我们始终致力于提供最简单、侵入性最小的解决方案,以保护开发者免受恶意包的侵害。因此我们发布了 SafeDep GitHub 应用,让保护代码仓库免受恶意包侵害变得极其简单。
安装简单且零配置——立即安装
零配置恶意包防护
如何开始?
- 安装 SafeDep GitHub 应用
- 等待下一次拉取请求被扫描
- 免受恶意包侵害
就这么简单!以下是实际运行效果:
工作原理
SafeDep 扫描发布到受支持注册表(如 npm、PyPI、RubyGems、Cargo 等)的所有开源包。SafeDep 应用静态、动态和智能体分析来检测恶意包。虽然这些包已从注册表中移除,但 SafeDep 工具利用这一威胁情报来保护代码仓库免受恶意包侵害。
有哪些好处?
- 零配置:安装应用无需任何配置
- 实时防护:扫描每个拉取请求中的恶意包
- 多生态系统:支持 npm、pnpm、yarn 等
- 多语言:支持 JavaScript、TypeScript、Python 等
- 多平台:支持 Windows、Linux 和 macOS
文档与支持
-
GitHub 应用文档:SafeDep GitHub 应用
-
npm
-
oss
-
malware
-
supply-chain
SafeDep 博客最新内容
关注以获取开源安全与工程的最新更新和见解