GitHub的星标功能引发关注,研究人员发现存在大量人为增加的假星标,主要集中在含有恶意软件的仓库上。这些假星标可能会误导开发者和组织,认为它们是值得信赖的项目,但实际上却存在风险。
研究团队分析了数十亿条GitHub活动数据,并开发了名为"StarScout"的工具来检测这些虚增星标的仓库。他们通过分析2019年至2024年的数据发现,在这期间有15835个仓库存在虚增星标的情况。即使在删除虚假账户后,这种误导性影响仍对社区造成严重负面影响。
从2024年开始,虚增星标现象不断加剧。到7月时,超过50个星标的仓库中约有16%涉及虚增行为。更糟糕的是,超过70%这些虚增星标的仓库涉及钓鱼诈骗或伪装恶意软件,直接威胁到软件供应链的安全。
这项研究揭示了开源社区中存在的问题,并提醒开发者们注意潜在的风险。对于想要寻找高质量、可靠的仓库的人来说,仅靠星标功能可能会受到误导,因此需要综合考虑其他因素来评估项目的质量。
新浪科技公众号
“掌”握科技鲜闻 (微信搜索techsina或扫描左侧二维码关注)
