近期，GitHub平臺上的星標功能成為了安全研究人員關(guān)注的焦點。他們發(fā)現(xiàn)，不少惡意軟件倉庫通過人為操作，大量增加星標數(shù)量，以此試圖迷惑開發(fā)者和組織。

為深入探究這一現(xiàn)象，一個研究團隊對GitHub上數(shù)十億條活動數(shù)據(jù)進行了詳盡分析。他們開發(fā)了一款名為“StarScout”的工具，專門用于檢測那些星標數(shù)量異常增長的倉庫。通過這一工具，研究團隊揭示了2019年至2024年間，共有15835個倉庫存在虛增星標的行為。

值得注意的是，即便在剔除虛假賬戶后，這些虛增的星標依然對GitHub社區(qū)產(chǎn)生了不小的負面影響。從2024年開始，這一現(xiàn)象更是愈演愈烈。數(shù)據(jù)顯示，截至當(dāng)年7月，在擁有超過50個星標的倉庫中，約有16%的倉庫存在虛增星標的行為。

更令人擔(dān)憂的是，這些虛增星標的倉庫中，超過70%涉及釣魚詐騙或偽裝惡意軟件，直接對軟件供應(yīng)鏈的安全構(gòu)成了嚴重威脅。這意味著，開發(fā)者在依賴星標數(shù)量來判斷倉庫質(zhì)量和可信度時，可能會誤入歧途，從而面臨潛在的安全風(fēng)險。

這項研究不僅揭示了開源社區(qū)中存在的安全隱患，也提醒了廣大開發(fā)者要保持警惕。在尋找高質(zhì)量、可靠的倉庫時，開發(fā)者不能僅憑星標數(shù)量來做決定，而應(yīng)該綜合考慮項目的多個方面，如代碼質(zhì)量、社區(qū)活躍度、安全記錄等，以更全面地評估項目的價值。