Apiiro推出免费工具以检测恶意代码

关键要点

• Apiiro发布了两个开源工具，旨在对抗恶意代码注入和软件供应链入侵。
• 第一个工具是全面的Semgrep和Opengrep规则集，准确率分别为94.3%（PyPI）和88.4%（NPM）。
• 第二个工具PRevent在识别恶意拉取请求时准确率为91.5%。
• 虽然这两个工具目前没有编译的二进制隐藏恶意软件发现或直接扫描PyPI和NPM包的能力，但未来将增加AI辅助扫描和深度代码分析功能。

Apiiro是一家应用安全态势管理公司，最近发布了两个旨在打击恶意代码注入和软件供应链威胁的开源工具。这些工具旨在提高开发过程中的安全性，确保软件的完整性和可靠性。

这两个工具中，第一个是一个全面的Semgrep和Opengrep规则集，适用于持续集成和持续部署（CI/CD）管道。在对PyPI和NPM包的测试中，该工具的准确率分别达到了94.3%和88.4%。第二个工具PRevent与GitHub集成，能够识别恶意拉取请求，准确率为91.5%。这两个工具可以在GitHub上免费下载，Apiiro表示它们能够通过“反模式”标识恶意代码，这些反模式包括编码、嵌套变换和其他混淆技术。

重要特性包括：

• 允许任意代码执行的功能
• 远程有效载荷下载和执行的代码
• 敏感用户数据窃取的方法

尽管这两个工具目前缺乏发现编译二进制隐藏恶意软件的能力，也没有直接扫描PyPI和NPM包的功能，Apiiro表示计划在未来为它们添加AI辅助扫描和深度代码分析的特性。这些更新将使工具变得更加强大，为开发者提供更全面的安全防护。

有关更多信息，可以访问Apiiro的。