悪意のあるパッケージのオープンソースリポジトリをスキャンする新しいツールは次のとおりです

「パッケージ分析プロジェクトは、オープンソースリポジトリで利用可能なパッケージの動作と機能を理解しようとしています。アクセスするファイル、接続するアドレス、実行するコマンドなどです」とOpenSSFは述べています。
OpenSSFのメンバーであるGoogleも、「ユーザーの安全を守るために公開されているパッケージを審査する」必要性を強調しながら、パッケージ分析プロジェクトの背後でサポートを結集しました。
昨年、ハイテク巨人のオープンソースセキュリティチームは、ソフトウェアパッケージの整合性を確保し、不正な変更を防ぐために、ソフトウェアアーティファクトのサプライチェーンレベル（SLSA）と呼ばれる新しいフレームワークを発表しました。