面向开源包管理生态的高危软件供应链投毒风险数据集

本数据集专门针对软件供应与分发环节中的恶意安全事件建设，旨在通过记录恶意包注入、依赖劫持及后门代码植入等典型投毒场景，提升对开源生态供应链风险的预警与感知能力。该资源基于对OSSFP等公开披露平台的持续监测，并深度融合了来自PyPI、npmjs、RubyGems及libraries.io等主流包管理平台的元数据。在产生过程中，采用自动化采集与人工复核相结合的机制确保事件基础信息的真实性与完整性，并同步对接依赖关系监控平台，获取代码仓库Star数、累计下载量及被依赖数量，从而多维量化投毒事件在软件生态中的传播能力与潜在危害。在数据处理阶段，系统通过设定下载量与依赖数的双重阈值，剔除低影响力数据，聚焦于对供应链安全具有显著影响的高风险事件。信息库核心记录了投毒行为特征、受影响软件及版本、社区传播指标及情报来源等关键字段。为软件供应链治理、恶意代码溯源分析及自动化检测建模提供了高质量的数据支撑。