{"id":122259,"date":"2022-05-02T03:29:47","date_gmt":"2022-05-02T05:29:47","guid":{"rendered":"https:\/\/teknomers.com\/fr\/voici-un-nouvel-outil-qui-analyse-les-referentiels-open-source-a-la-recherche-de-packages-malveillants\/"},"modified":"2022-05-02T03:30:10","modified_gmt":"2022-05-02T05:30:10","slug":"voici-un-nouvel-outil-qui-analyse-les-referentiels-open-source-a-la-recherche-de-packages-malveillants","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/voici-un-nouvel-outil-qui-analyse-les-referentiels-open-source-a-la-recherche-de-packages-malveillants\/","title":{"rendered":"Voici un nouvel outil qui analyse les r\u00e9f\u00e9rentiels open source \u00e0 la recherche de packages malveillants"},"content":{"rendered":"


\n<\/p>\n

\n
<\/div>\n

L’Open Source Security Foundation (OpenSSF) a annonc\u00e9 la sortie d’un premier prototype d’un nouvel outil capable d’effectuer une analyse dynamique de tous les packages t\u00e9l\u00e9charg\u00e9s sur des r\u00e9f\u00e9rentiels open source populaires.<\/p>\n

Appel\u00e9 le Analyse de colis<\/b><\/a> projet, l’initiative vise \u00e0 s\u00e9curiser les packages open source en d\u00e9tectant et en alertant les utilisateurs de tout comportement malveillant dans le but de renforcer la s\u00e9curit\u00e9 de la cha\u00eene d’approvisionnement logicielle et d’accro\u00eetre la confiance dans les logiciels open source.<\/p>\n

\"La<\/a><\/div>\n

“Le projet Package Analysis cherche \u00e0 comprendre le comportement et les capacit\u00e9s des packages disponibles sur les r\u00e9f\u00e9rentiels open source\u00a0: \u00e0 quels fichiers acc\u00e8dent-ils, \u00e0 quelles adresses se connectent-ils et quelles commandes ex\u00e9cutent-ils\u00a0?”, l’OpenSSF. mentionn\u00e9<\/a>.<\/p>\n

“Le projet suit \u00e9galement les changements dans le comportement des packages au fil du temps, pour identifier quand un logiciel auparavant s\u00fbr commence \u00e0 agir de mani\u00e8re suspecte”, ont ajout\u00e9 Caleb Brown et David A. Wheeler de la fondation.<\/p>\n

Lors d’un test qui a dur\u00e9 un mois, l’outil a identifi\u00e9 plus de 200 paquets malveillants<\/a> t\u00e9l\u00e9charg\u00e9 sur PyPI et NPM, la majorit\u00e9 des biblioth\u00e8ques malveillantes tirant parti de la confusion des d\u00e9pendances et des attaques de typosquattage.<\/p>\n

Google, qui est membre d’OpenSSF, a \u00e9galement ralli\u00e9 son soutien<\/a> derri\u00e8re le projet Package Analysis, tout en soulignant la n\u00e9cessit\u00e9 de “v\u00e9rifier les packages publi\u00e9s afin d’assurer la s\u00e9curit\u00e9 des utilisateurs”.<\/p>\n

\"La<\/a><\/div>\n

L’ann\u00e9e derni\u00e8re, l’\u00e9quipe de s\u00e9curit\u00e9 Open Source du g\u00e9ant de la technologie a propos\u00e9 un nouveau cadre appel\u00e9 Niveaux de la cha\u00eene d’approvisionnement pour les artefacts logiciels (SLSA) pour garantir l’int\u00e9grit\u00e9 des progiciels et emp\u00eacher les modifications non autoris\u00e9es.<\/p>\n

Le d\u00e9veloppement intervient alors que l’\u00e9cosyst\u00e8me open source est de plus en plus arm\u00e9 pour cibler les d\u00e9veloppeurs avec une vari\u00e9t\u00e9 de logiciels malveillants, y compris les mineurs de crypto-monnaie et les voleurs d’informations.<\/p>\n

<\/p>\n<\/div>\n


\n
ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

L’Open Source Security Foundation (OpenSSF) a annonc\u00e9 la sortie d’un premier prototype d’un nouvel outil capable d’effectuer une analyse dynamique de tous les packages t\u00e9l\u00e9charg\u00e9s sur des r\u00e9f\u00e9rentiels open source populaires. Appel\u00e9 le Analyse de colis projet, l’initiative vise \u00e0 s\u00e9curiser les packages open source en d\u00e9tectant et en alertant les utilisateurs de tout comportement […]<\/p>\n","protected":false},"author":1,"featured_media":122260,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[1342,4168,4158,4165,4161,4157,4159,4171,4170,65,4167,4590,4160,716,4163,4162,14531,5527,7309,364,1910,58986,4172,4169,11137,4166,363,4164],"class_list":["post-122259","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-analyse","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-logiciel-malveillant-de-ransomware","tag-malveillants","tag-mises-a-jour-de-la-cybersecurite","tag-nouvel","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-open","tag-outil","tag-packages","tag-qui","tag-recherche","tag-referentiels","tag-securite-informatique","tag-securite-internet","tag-source","tag-violation-de-donnees","tag-voici","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/122259","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=122259"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/122259\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/122260"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=122259"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=122259"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=122259"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}