Mặc dù bản chất của phần mềm nguồn cho phép bất kỳ ai cũng có thể xác minh được mã, nhưng việc đó cũng đồng nghĩa với việc các tác nhân độc hại và tin tặc có thể đưa mã xấu vào ứng dụng mà người dùng khó có thể nhận ra. Để giải quyết vấn đề này, Google đã cam kết hỗ trợ Dự án phân tích gói của Quỹ bảo mật nguồn mở (OpenSSF), theo Neowin.
Về cơ bản, Google sẽ giúp OpenSSF phân tích động các gói mã nguồn mở trên quy mô lớn, kết quả sẽ được lưu vào BigQuery. Điều này sẽ đảm bảo rằng khi các phần mềm có chứa gói thông tin độc hại được tải lên các kho lưu trữ phần mềm phổ biến, người dùng sẽ được cảnh báo. Google tin rằng quá trình này cũng sẽ tiết lộ nhiều thông tin hơn về bảo mật chuỗi cung ứng và sẽ tạo ra một hệ sinh thái an toàn hơn.
Google đã ghi nhận một khám phá thú vị rằng các gói này thường chứa một tập lệnh đơn giản, sẽ chạy trong quá trình cài đặt và gửi một số thông tin chi tiết về máy chủ của nó. Các gói này rất có thể là sản phẩm của các nhà nghiên cứu bảo mật, sử dụng để tìm kiếm lỗi ứng dụng vì hầu hết không lấy dữ liệu có ý nghĩa, ngoại trừ tên của máy hoặc tên người dùng. Bên cạnh đó, chúng không cố gắng che giấu hành vi của mình.
Do vậy, Google đã tuyên bố hầu hết các gói thông tin chứa mã độc đều cho thấy rằng chúng đến từ các nhà nghiên cứu bảo mật và không gây ra mối đe dọa lớn. Tuy nhiên, người dùng các phần mềm này vẫn có thể bị tấn công bởi tin tặc từ các lỗ hổng tương tự.
