研究人员发现,扫描工具原本负责清除通过流行的开源代码存储库PyPI分发的软件包所含的恶意代码,实际上却生成大量的误警报。
PyPI是面向用Python编写的应用程序中使用的软件组件的主要代码库,Chainguard公司分析PyPI后发现,这种方法只揪出了59%的恶意软件包,但也误标了三分之一流行的合法Python软件包和15%的随机选择的软件包。
Chainguard的研究人员在周二的分析报告中表示,研究工作旨在创建一个数据集,以便Python维护人员和PyPI代码库可以用来确定其系统在扫描项目、查找恶意更改和供应链攻击方面的效果。
参与这项研究的Chainguard高级软件工程师ZackNewman表示,虽然现有方法可以检测出大多数恶意软件,但显然需要重大改进,那样才能防止误警报浪费项目经理的时间。
他表示,这些是还有其他工作要做的志愿者,而不是愿意整天搜索可疑代码的安全研究人员。他们格外