Man kann den Sternen auf GitHub nicht trauen – das habe ich jetzt gelernt. Ähnlich wie auf anderen sozialen Netzwerken lassen sich auch auf GitHub Sterne kaufen. Dadurch entsteht der trügerische Eindruck, eine Software sei besonders populär und vertrauenswürdig. Leider wird diese Taktik offenbar häufig genutzt, um Malware zu verbreiten.
The Rise of Fake GitHub Stars: A Growing Security Threat für cyberinsider.com
That being said, it is recommended that repository activity be verified beyond star counts. Look for meaningful contributions like issues, pull requests, and active discussions. Additionally, reputation metrics, such as OpenSSF Scorecards, should be considered, as they provide a holistic evaluation of software security.
GitHub is also responsible for tackling this problem. The paper suggests the implementation of weighted popularity metrics that account for account authenticity and activity diversity. Also, it is recommended that the platform enhances moderation systems to correlate fake star activity with malicious repositories for timely takedowns.
Möchtest du mir antworten?
Schick mir eine Nachricht per E-Mail und lass uns ein Dialog beginnen. Du kannst mir auch per RSS oder Mastodon folgen.