Разработчик Мохамед Ахмед (Mohamed Ahmed) выпустил утилиту StarGuard, которая определяет накрученные звёзды в GitHub-репозиториях, и ищет подозрительные зависимости. Код проекта открыт.
Автор StarGuard вдохновился исследователями Университета Карнеги — Меллона и компании Socket Inc, которые выяснили, что на GitHub есть более 4,5 млн фейковых оценок репозиториев. Злоумышленники создают фишинговые репозитории и накручивают звёзды. Также исследователи выяснили, что покупка фейковых оценок на специализированных площадках обойдётся в 0,1 доллара за одну звезду.
Исследователи: на GitHub есть около 4,5 млн фейковых оценок, которые путают разработчиковИсследователи Университета Карнеги Меллон, Университета штата Северной Каролины и компании Socket In…habr.com
StarGuard позволяет проверить любой репозиторий не только на накрутку, но и на другие «красные флаги»: подозрительные зависимости, скрытые криптомайнеры, обфусцированный код и небезопасные лицензии. На вход утилита получает ссылку на репозиторий и возвращает отчёт в форматах JSON или Markdown.
Код StarGuard написан на Python и опубликован на GitHub. Также в репозитории есть инструкция по установке. Важно отметить, что для работы утилите нужен ключ GitHub API. Автор проекта отмечает, что инструмент может быть полезен CTO и специалистам по кибербезопасности.
Источник: habr.com
Похожие новости:
В суде США разваливается коллективный иск «разработчики против Microsoft, GitHub и OpenAI из-за работы GitHub Copilot»
Гиперперсонализация: как сделать предложение пользователю релевантным
«Это же элементарно!» — физики МГУ научились различать «мёртвые» звёзды
Mozilla выпустила финансовый отчёт за 2023 год