近期,GitHub平臺上的星標功能成為了安全研究人員關注的焦點。他們發現,不少惡意軟件倉庫通過人為操作,大量增加星標數量,以此試圖迷惑開發者和組織。
為深入探究這一現象,一個研究團隊對GitHub上數十億條活動數據進行了詳盡分析。他們開發了一款名為“StarScout”的工具,專門用于檢測那些星標數量異常增長的倉庫。通過這一工具,研究團隊揭示了2019年至2024年間,共有15835個倉庫存在虛增星標的行為。
值得注意的是,即便在剔除虛假賬戶后,這些虛增的星標依然對GitHub社區產生了不小的負面影響。從2024年開始,這一現象更是愈演愈烈。數據顯示,截至當年7月,在擁有超過50個星標的倉庫中,約有16%的倉庫存在虛增星標的行為。
更令人擔憂的是,這些虛增星標的倉庫中,超過70%涉及釣魚詐騙或偽裝惡意軟件,直接對軟件供應鏈的安全構成了嚴重威脅。這意味著,開發者在依賴星標數量來判斷倉庫質量和可信度時,可能會誤入歧途,從而面臨潛在的安全風險。
這項研究不僅揭示了開源社區中存在的安全隱患,也提醒了廣大開發者要保持警惕。在尋找高質量、可靠的倉庫時,開發者不能僅憑星標數量來做決定,而應該綜合考慮項目的多個方面,如代碼質量、社區活躍度、安全記錄等,以更全面地評估項目的價值。
