GitHub, platforma më e përdorur në botë për zhvillimin e softuerit me burim të hapur, po përballet me një problem në rritje: keqpërdorimin e sistemit të tij yll. Të krijuara për të sinjalizuar popullaritetin dhe cilësinë, këta yje tani po shfrytëzohen për të fryrë artificialisht reputacionin e depove, shumë prej të cilave përmbajnë malware ose përfshihen në aktivitete të tjera keqdashëse.
Studiues nga Carnegie Mellon University, Socket dhe North. Universiteti Shtetëror i Karolinës kreu një studim duke ekspozuar shkallën dhe implikimet e kësaj sjelljeje mashtruese. (përmes Bleepingcomputer)
Ata identifikuan mbi 4.5 milionë yje të rremë të lidhur me 15,835 depo midis 2019 dhe 2024, duke hedhur dritë mbi një prirje alarmante që minon besimin në platformë dhe rrezikon ekosistemin me burim të hapur.
Të lidhura: Komentet e GitHub të përdorura për të përhapur malware Lumma që vjedhin kredencialet
Ndikimet për zhvilluesit dhe organizatat
Keqpërdorimi e yjeve të GitHub ka implikime të rëndësishme për zhvilluesit, organizatat dhe zinxhirin më të gjerë të furnizimit të softuerit. Yjet përdoren shpesh si një heuristikë e shpejtë për vlerësimin e cilësisë së një depoje, veçanërisht nga zhvilluesit që kërkojnë komponentë me burim të hapur për t’u integruar në projektet e tyre.
Megjithatë, siç zbuloi studimi, 15.8% e depove që morën 50 ose më shumë yje në korrik 2024 ishin të lidhura me fushata të rreme të yjeve. Ky shtrembërim minon besueshmërinë e sistemit të yjeve të GitHub dhe nxjerr në pah rreziqet e mbështetjes në metrikë të vetme për vendimmarrje.
Numri i depove me fushata të rreme yjesh në çdo muaj, krahasuar me numrin e të gjitha depove të GitHub që morën ≥50 yjet në atë muaj. (Burimi: Studim)
Kërkuesit theksuan rëndësinë e një qasjeje më holistike për vlerësimin e depove. Ata deklaruan, “Numërimi i yjeve është një sinjal jo i besueshëm i cilësisë dhe nuk duhet të përdoret për vendime me aksione të larta, të paktën jo në vetvete. Është jetike të vlerësohen sinjalet e tjera për të shmangur mbivlerësimin e popullaritetit ose reputacionit, gjë që mund të çojë në rreziqe sigurie.”
Ata inkurajojnë zhvilluesit dhe organizatat të shikojnë përtej numërimit të yjeve dhe të vlerësojnë faktorë shtesë, si dokumentacioni, kërkesat tërheqëse , dhe aktivitetin e kontribuesve me reputacion, për të marrë vendime të informuara.
I lidhur: Mbi 3,000 Llogari GitHub të përdorura. në fushatën e Stargazer Goblin’s Malware
Rreziqet e sigurisë së yjeve të rremë
Një nga aspektet më shqetësuese të fushatave me yje të rremë është lidhja e tyre me shpërndarjen e shumë softuerëve keqdashës Depot e shënuara ishin projekte jetëshkurtër që maskoheshin si softuer pirat, mashtrime të lojërave ose robotë të kriptomonedhave
Këto Depot shpesh përmbanin softuer të fshehur të krijuar për të vjedhur të dhëna të ndjeshme ose kriptomonedha nga përdoruesit që nuk dyshojnë. >
Gjetjet nxjerrin në pah dobësitë në matjet dhe moderimin e GitHub sistemeve. Ndërsa GitHub ka vepruar për të hequr shumë depo të shënuara, platforma përballet me sfida të rëndësishme në lidhjen e llogarive me qëllim të keq me aktivitetet e tyre.
Kërkuesit sugjeruan që GitHub të zbatojë metrika të peshuara që marrin parasysh reputacionin e përdoruesit dhe modelet e aktivitetit, duke reduktuar ndikimin e ndërveprimeve mashtruese. Ata rekomanduan gjithashtu transparencë dhe bashkëpunim më të madh me komunitetin me burim të hapur për të zhvilluar mjete dhe udhëzime për identifikimin e aktiviteteve mashtruese.
I lidhur: Microsoft Battles çështjet e sigurisë kibernetike në GitHub me zgjidhjet e AI
p>
StarScout: Një mjet për identifikimin e yjeve të rremë
Për të adresuar këtë kërcënim në rritje, ekipi hulumtues zhvilloi dhe lëshoi StarScout, një mjet i avancuar zbulimi që funksionon në shkallë deri në zbuloni yjet e dyshimtë të GitHub.
StarScout përdor një kornizë të bazuar në Python që kërkon Python 3.12 dhe është testuar në Ubuntu 22.04. Ai përdor dy heuristika kryesore të zbulimit: heuristikën me aktivitet të ulët dhe heuristikën e grupimit.
Këto teknika identifikojnë modele të aktivitetit mashtrues, të tilla si llogaritë që angazhohen minimalisht me GitHub përtej depove me yll ose grupeve të koordinuara të llogarive që veprojnë së bashku për të fryrë metrikat.
Konfigurimi i StarScout përfshin krijimin e StarScout. një mjedis Python dhe konfigurimin e kredencialeve të ndryshme, duke përfshirë MongoDB, Google Cloud dhe shenjat API të GitHub. Mjeti është krijuar për studiues dhe analistë të njohur me përpunimin e të dhënave në shkallë të gjerë, pasi ekzekutimi i skripteve të zbulimit përfshin leximin e mbi 20 terabajt të të dhënave.
Siç përshkruhet nga studiuesit,”pyetjet e BigQuery nuk do të zgjasin më shumë se disa minuta, por skripti gjithashtu do të marrë GitHub API për të mbledhur informacione të caktuara. Prisni që të jetë më i ngadalshëm dhe të nxjerrë shumë mesazhe gabimi (sepse shumë nga depot e rreme të yjeve janë fshirë).”
Zbulimi i fushatave të yjeve të rremë: Procesi
Rrjedha e punës e StarScout fillon me ekzekutimin e heuristikës me aktivitet të ulët, i cili analizon të dhënat e GitHub nga kornizat kohore të specifikuara dhe identifikon anomalitë treguese të yjeve të rremë Rezultatet ruhen në MongoDB dhe eksportohen në skedarët lokalë CSV
Ky hap pasohet nga heuristika e grupimit, e cila përdor algoritmin CopyCatch për të zbuluar aktivitetet e koordinuara në intervale gjashtëmujore. Për shkak të kompleksitetit të këtyre operacioneve, heuristika e grupimit mund të marrë deri në një javë për të përpunuar të dhënat, duke konsumuar mbi 40 Pasi të jenë përfunduar, rezultatet eksportohen dhe grumbullohen në një grup të dhënash me yje të dyshuar të rremë.
Të dhënat e të dhënave përditësohen çdo tre muaj, duke pasqyruar gjetjet më të fundit të ekipit kërkimor grupi i të dhënave përmban raste të dyshuara dhe mund të përfshijë pozitivë të rremë.
Ata shpjeguan, “Depot individuale dhe përdoruesit në grupin tonë të të dhënave mund të jenë false pozitive. Qëllimi kryesor i të dhënave tona është për analiza statistikore (të cilat tolerojnë zhurmat në mënyrë të arsyeshme), jo për të turpëruar publikisht depo individuale.”Konsideratat etike janë një komponent kritik i kësaj pune, pasi kërkimi synon të nxjerrë në pah tendencat më të gjera në vend që të synojë projekte specifike ose zhvilluesit.
Roli i StarScout në formësimin e së ardhmes
Zhvillimi i StarScout përfaqëson një përparim të rëndësishëm në luftën kundër aktiviteteve mashtruese në GitHub Duke përdorur teknikat e drejtuara nga të dhënat, mjeti ofron një zgjidhje të shkallëzuar për identifikimin e fushatave të rreme të yjeve
StarScout tregon se si të dhënat. mjetet e drejtuara mund të përdoren për të identifikuar dhe zbutur aktivitetet mashtruese në platformat online zgjidhje të shkallëzueshme për të mbrojtur përdoruesit dhe për të ruajtur besimin në ekosistemin e softuerit.”Ndërsa GitHub vazhdon të rritet, mjetet si StarScout do të jenë thelbësore në adresimin e kërcënimeve në zhvillim dhe për të siguruar qëndrueshmërinë e platformës.
Një thirrje për të forcuar integritetin me burim të hapur
Gjetjet e këtij studimi nxjerrin në pah nevojën urgjente për ndryshim sistemik brenda komunitetit me burim të hapur. Ndërsa mbështetja në komponentët me burim të hapur vazhdon të rritet, siguria dhe besueshmëria e tyre është parësore. Duke i dhënë përparësi transparencës, llogaridhënies dhe matjeve të fuqishme, komuniteti me burim të hapur mund të ndërtojë një ekosistem më elastik që përfiton njësoj si zhvilluesit, bizneset dhe përdoruesit.
Ndërsa sfidat e paraqitura nga fushatat e yjeve të rreme janë të rëndësishme, ato janë të rëndësishme. paraqesin gjithashtu një mundësi për të forcuar themelet e zhvillimit me burim të hapur. Duke punuar së bashku, ofruesit, zhvilluesit dhe organizatat e platformës mund t’i adresojnë këto kërcënime dhe të sigurojnë që GitHub të mbetet një burim i besueshëm për inovacion dhe bashkëpunim.
