GitHub, platform yang paling banyak digunakan di dunia untuk pembangunan perisian sumber terbuka, menghadapi masalah yang semakin meningkat: penyalahgunaan sistem bintangnya. Direka bentuk untuk menandakan populariti dan kualiti, bintang-bintang ini kini sedang dieksploitasi untuk meningkatkan reputasi repositori secara buatan, yang kebanyakannya menyimpan perisian hasad atau terlibat dalam aktiviti berniat jahat yang lain.
Penyelidik dari Carnegie Mellon University, Socket, dan North Carolina State University menjalankan kajian yang mendedahkan skala dan implikasi daripada tingkah laku penipuan ini. (melalui Bleepingcomputer)
Mereka mengenal pasti lebih 4.5 juta bintang palsu yang dikaitkan dengan 15,835 repositori antara 2019 dan 2024, menerangkan arah aliran membimbangkan yang menjejaskan kepercayaan pada platform dan menjejaskan ekosistem sumber terbuka.
Berkaitan: Komen GitHub Digunakan untuk Menyebarkan Perisian Hasad Lumma yang Mencuri Kredensial
Implikasi untuk Pembangun dan Organisasi
Penyalahgunaan bintang GitHub mempunyai implikasi yang ketara kepada pembangun, organisasi dan perisian yang lebih luas rantaian bekalan. Bintang sering digunakan sebagai heuristik pantas untuk menilai kualiti repositori, terutamanya oleh pembangun yang mencari komponen sumber terbuka untuk disepadukan ke dalam projek mereka.
Walau bagaimanapun, seperti yang didedahkan oleh kajian, 15.8% daripada repositori yang menerima 50 atau lebih bintang pada Julai 2024 telah dikaitkan dengan kempen bintang palsu. Herotan ini menjejaskan kredibiliti sistem bintang GitHub dan menyerlahkan risiko bergantung pada metrik tunggal untuk membuat keputusan.
Bilangan repositori dengan kempen bintang palsu dalam setiap bulan, berbanding dengan bilangan semua repositori GitHub yang menerima ≥50 bintang pada bulan itu. (Sumber: Kajian)
Para penyelidik menekankan kepentingan pendekatan yang lebih holistik untuk menilai repositori. Mereka menyatakan, “Bilangan bintang ialah isyarat kualiti yang tidak boleh dipercayai dan tidak boleh digunakan untuk keputusan yang mempunyai kepentingan tinggi, sekurang-kurangnya tidak dengan sendirinya. Adalah penting untuk menilai isyarat lain untuk mengelakkan terlalu menilai populariti atau reputasi, yang boleh membawa kepada risiko keselamatan.”
Mereka menggalakkan pembangun dan organisasi untuk melihat melangkaui jumlah bintang dan menilai faktor tambahan, seperti dokumentasi, permintaan menarik. , dan aktiviti penyumbang bereputasi, untuk membuat keputusan termaklum.
Berkaitan: Lebih 3,000 Akaun GitHub Digunakan dalam Stargazer Kempen Peribadi Goblin
Risiko Keselamatan Bintang Palsu
Salah satu aspek yang paling membimbangkan bagi kempen bintang palsu ialah sambungannya kepada pengedaran perisian hasad adalah projek jangka pendek yang menyamar sebagai perisian cetak rompak, penipu permainan atau bot mata wang kripto
Repositori ini selalunya mengandungi perisian hasad tersembunyi yang direka untuk mencuri sensitif data atau mata wang kripto daripada pengguna yang tidak curiga Para penyelidik menjelaskan,”Kempen ini kerap mempromosikan repositori perisian hasad pancingan data jangka pendek yang menyamar sebagai perisian cetak rompak atau alat menarik lain untuk memikat pengguna yang tidak curiga.”
Penemuan ini menyerlahkan kelemahan dalam. Sistem metrik dan penyederhanaan GitHub. Walaupun GitHub telah bertindak untuk mengalih keluar banyak repositori yang dibenderakan, platform ini menghadapi cabaran besar dalam memautkan akaun berniat jahat kepada aktiviti mereka.
Para penyelidik mencadangkan agar GitHub melaksanakan metrik wajaran yang mempertimbangkan reputasi pengguna dan corak aktiviti, mengurangkan kesan interaksi penipuan. Mereka juga mengesyorkan lebih ketelusan dan kerjasama dengan komuniti sumber terbuka untuk membangunkan alatan dan garis panduan untuk mengenal pasti aktiviti penipuan.
Berkaitan: Microsoft Battles Cybersecurity Issues on GitHub with AI Solutions
p>
StarScout: Alat untuk Mengenalpasti Bintang Palsu
Untuk menangani ancaman yang semakin meningkat ini, pasukan penyelidik membangunkan dan mengeluarkan StarScout, alat pengesanan lanjutan yang beroperasi pada skala untuk mendedahkan bintang GitHub yang mencurigakan.
StarScout menggunakan rangka kerja berasaskan Python yang memerlukan Python 3.12 dan telah diuji pada Ubuntu 22.04. Ia menggunakan dua heuristik pengesanan utama: heuristik aktiviti rendah dan heuristik pengelompokan.
Teknik ini mengenal pasti corak aktiviti penipuan, seperti akaun yang terlibat secara minimum dengan GitHub melangkaui repositori pembintangan atau kumpulan akaun yang diselaraskan yang bertindak bersama-sama untuk meningkatkan metrik.
Menyediakan StarScout melibatkan penciptaan persekitaran Python dan mengkonfigurasi pelbagai bukti kelayakan, termasuk MongoDB, Google Cloud dan token API GitHub. Alat ini direka untuk penyelidik dan penganalisis yang biasa dengan pemprosesan data berskala besar, kerana menjalankan skrip pengesanan melibatkan pembacaan lebih 20 terabait data.
Seperti yang diterangkan oleh penyelidik,”pertanyaan BigQuery tidak akan mengambil masa lebih daripada beberapa minit, tetapi skrip juga akan mengambil API GitHub untuk mengumpul maklumat tertentu. Jangkakan ia menjadi lebih perlahan dan mengeluarkan banyak mesej ralat (kerana banyak repositori bintang palsu telah dipadamkan).”
Mengesan Kempen Bintang Palsu: Proses
Aliran kerja StarScout bermula dengan menjalankan heuristik aktiviti rendah, yang menganalisis data GitHub daripada jangka masa tertentu dan mengenal pasti anomali yang menunjukkan bintang palsu. Hasilnya disimpan dalam MongoDB dan dieksport ke fail CSV tempatan
Langkah ini diikuti oleh heuristik pengelompokan, yang menggunakan algoritma CopyCatch untuk mengesan aktiviti yang diselaraskan dalam selang enam bulan kerumitan operasi ini, heuristik pengelompokan boleh mengambil masa sehingga seminggu untuk memproses data, menggunakan lebih 40 terabait storan Setelah selesai, hasilnya dieksport dan diagregatkan ke dalam set data yang disyaki bintang palsu.
Dataset dikemas kini setiap suku tahun, mencerminkan penemuan terbaru pasukan penyelidik, para penyelidik mengingatkan bahawa set data itu mengandungi kes yang disyaki dan mungkin termasuk positif palsu.
Mereka menjelaskan, “Repositori individu dan pengguna dalam set data kami mungkin positif palsu. Tujuan utama set data kami adalah untuk analisis statistik (yang bertolak ansur dengan bunyi yang munasabah), bukan untuk memalukan repositori individu secara terbuka.”Pertimbangan etika adalah komponen kritikal dalam kerja ini, kerana penyelidikan bertujuan untuk menyerlahkan trend yang lebih luas dan bukannya menyasarkan projek atau projek tertentu. pembangun.
Peranan StarScout dalam Membentuk Masa Depan
Pembangunan StarScout mewakili kemajuan yang ketara dalam melawan aktiviti penipuan di GitHub Dengan memanfaatkan teknik dipacu data, alat ini menyediakan penyelesaian berskala untuk mengenal pasti kempen bintang palsu
Penyelidik menjelaskan,”StarScout menunjukkan cara alat dipacu data boleh digunakan untuk mengenal pasti. dan mengurangkan aktiviti penipuan pada platform dalam talian Penemuan kami menekankan kepentingan membangunkan penyelesaian berskala untuk melindungi pengguna dan mengekalkan kepercayaan dalam ekosistem perisian.”Memandangkan GitHub terus berkembang, alatan seperti StarScout akan menjadi penting dalam menangani ancaman yang muncul dan memastikan kemampanan platform.
Seruan untuk Memperkukuh Integriti Sumber Terbuka
Penemuan kajian ini menyerlahkan keperluan mendesak untuk perubahan sistemik dalam komuniti sumber terbuka. Memandangkan pergantungan pada komponen sumber terbuka terus berkembang, memastikan keselamatan dan kebolehpercayaan mereka adalah yang terpenting. Dengan mengutamakan ketelusan, akauntabiliti dan metrik yang mantap, komuniti sumber terbuka boleh membina ekosistem yang lebih berdaya tahan yang memberi manfaat kepada pembangun, perniagaan dan pengguna.
Walaupun cabaran yang ditimbulkan oleh kempen bintang palsu adalah penting, mereka juga memberikan peluang untuk mengukuhkan asas pembangunan sumber terbuka. Dengan bekerjasama, penyedia platform, pembangun dan organisasi boleh menangani ancaman ini dan memastikan GitHub kekal sebagai sumber yang dipercayai untuk inovasi dan kerjasama.
