Il progetto Package Analysis è una nuova iniziativa della Open Source Security Foundation (OpenSSF) progettata per proteggere i pacchetti open source. Ciò avviene tramite uno strumento che analizza i repository e avvisa gli utenti in caso di comportamento sospetto o di codice dannoso. L'obiettivo finale è potenziare la sicurezza a livello di supply chain e aumentare la fiducia nel software open source. Il problema da cui ha origine questo progetto è il fatto che, sempre più spesso, l'ambiente open source viene sfruttato come vettore d'attacco per la diffusione di malware, come i miner di criptovalute e gli stealer di informazioni.
Lo strumento sviluppato dalla OpenSSF è allo stadio di prototipo, ed è in grado di analizzare in modo dinamico tutti i pacchetti caricati sui repository open source più popolari. La fondazione ha dichiarato: "Il progetto Package Analisys intende comprendere il funzionamento e le funzionalità dei pacchetti disponibili nei repository open source: a quali file hanno accesso, a quali indirizzi si collegano e con quali comandi vengono avviati".
In fase di test, lo strumento ha già individuato oltre 200 pacchetti dannosi caricati su PyPI e NPM. La maggior parte delle librerie compromesse sfruttava due metodologie principali: la prima è nota come "dependency confusion", ovvero il fatto che diversi software possono includere componenti provenienti sia da fonti private che pubbliche, con la possibilità di sfruttare la situazione per caricare "copie" compromesse di alcune dipendenze, la seconda, invece è nota come "typosquatting", in cui i nomi delle dipendenze false sfruttano possibili errori di battitura nei pacchetti legittimi, così da essere incluse "per sbaglio" nei progetti).