暗箭伤人的刀子收藏：开源供应链攻击述评

下载PDF摘要：软件供应链攻击的特征是将恶意代码注入到软件包中，以进一步危害链中依赖的系统。近年来，在软件开发过程中，由于依赖关系管理器自动解析、下载和安装了数百个开源软件包，导致了大量的供应链攻击，这些软件在软件开发过程中使用越来越多的开源软件，本文给出了一个174个恶意软件包的数据集，这些软件包被用于对开源软件供应链的真实攻击，并通过流行的软件包库NPM、PyPI和RubyGems进行分发。这篇文章给出了一个包含174个恶意软件包的数据集，这些软件包通过流行的软件包库NPM、PyPI和RubyGems进行分发，这些软件包在整个软件生命周期中自动解析、下载和安装数百个开源软件包。这些袋子的日期从2015年11月到2019年11月，都是人工收集和分析的。文中还给出了两种通用攻击树，提供了向下游用户依赖树注入恶意代码以及在不同时间和不同条件下执行恶意代码的技术的结构化概述。这项工作旨在促进开放源码和研究界未来预防和检测保障措施的发展。