IT之家 12 月 21 日新闻,天下最年夜的开源社区 GitHub 供给了名为“Star(星标)”的功效,用户能够为堆栈或话题打上星形标志。经由过程打星,用户能够便利地停止后续搜寻,而领有较多星标的堆栈更轻易表现为“热点堆栈”。但是据外媒 CyberInsider 本周四报道,美国卡内基梅隆年夜学跟北卡罗来纳州破年夜学的研讨标明,GitHub 上存在多达 450 万个工资增添的假星标,年夜多被加在含有歹意软件的堆栈上。GitHub 的星标是断定堆栈风行度跟品质的主要标记,但一些用户正在经由过程付费效劳“刷”堆栈星标的数目。据研讨表现,这类效劳的收费为每个星标 0.1 美元(IT之家备注:以后约 0.73 元国民币),差别的虚增效劳在“每颗星的价钱”“最低订单量”跟“星标授予时光”等方面各有差别。看似取得大批星标的堆栈,可能会误导开辟者跟构造以为它们是值得信任的名目,即使这些堆栈的品质较差,乃至可能含有歹意代码,缺少无效的社区支撑。良多如许的虚增星标的堆栈假装成游戏舞弊东西或虚构货泉呆板人相干东西,现实上却含有经由加密混杂的歹意软件,可能入侵体系或盗取数据。研讨团队剖析了数十亿条 GitHub 运动数据,并开辟了名为“StarScout”的东西,用于检测这些虚增星标的堆栈。经由过程剖析从 2019 年到 2024 年的数据,研讨职员发明 15835 个堆栈存在虚增星标的情形。只管歹意堆栈的星标在 GitHub 删除虚伪账户后被移除,但这种误导性影响曾经充足重大。2024 年以来,虚增星标的景象一直加剧。到 7 月,超越 50 个星标的堆栈中,约有 16% 波及虚增星标行动。更重大的是,超越 70% 这些虚增星标的堆栈波及垂纶欺骗或假装歹意软件,直接要挟到软件供给链的保险。IT之家附研讨有关论文地点:点此前去告白申明:文内含有的对外跳转链接(包含不限于超链接、二维码、口令等情势),用于通报更多信息,节俭甄选时光,成果仅供参考,IT之家全部文章均包括本申明。 ]article_adlist--> 申明:新浪网独家稿件,未经受权制止转载。 -->[db:摘要]
