【安全资讯】Apiiro推出免费扫描工具以检测恶意代码合并

概要：

网络安全领域面临着日益严重的供应链攻击威胁。Apiiro近日推出了两款免费的开源工具，旨在检测和阻止恶意代码在软件项目中合并，从而增强代码安全性。这一举措对于保护开发环境和用户数据安全具有重要意义。

主要内容：

Apiiro的安全研究人员发布的这两款工具包括针对Semgrep和Opengrep的全面规则集，能够有效识别恶意代码模式，降低误报率。根据Apiiro的研究，针对PyPI软件包的检测准确率高达94.3%，而npm软件包的准确率也达到了88.4%。此外，名为PRevent的GitHub集成扫描器在91.5%的案例中成功标记出恶意的拉取请求（PR）。

Apiiro的恶意代码检测策略基于识别“代码反模式”，这些模式在合法代码中较为罕见，但在恶意软件中却很常见。该检测系统采用静态分析技术，能够在不执行代码的情况下检查代码，从而避免环境被意外感染。常见的反模式包括各种混淆方法、使用exec()和eval()等函数进行任意代码执行，以及从未知服务器下载和执行远程有效载荷的代码。

尽管Apiiro承认其工具在某些方面仍存在局限性，例如无法检测隐藏在编译二进制文件中的恶意软件，但他们计划在未来的更新中增加深度代码分析和AI辅助扫描等功能。这些工具现已在GitHub上免费提供，开发者可以根据说明进行使用。