本文是关于开源软件贡献者个人安全设置的首项定性研究。研究背景：开源软件供应链安全日益重要，贡献者需要保护开发环境免受攻击（如认证凭据、代码签名密钥等），但开源项目难以像公司那样强制执行安全策略，因此贡献者的安全设置存在高度异质性。研究问题：开源贡献者如何组织个人安全设置？他们的动机、决策和态度是什么？这对开源供应链安全有何潜在影响？方法：对参与关键开源项目的20位经验丰富的贡献者进行半结构化访谈。主要发现：贡献者普遍对安全有较高亲和力，但安全实践很少在社区中讨论或由项目强制执行。社会机制（如信任、尊重、礼貌）强烈影响安全行为的分享，阻碍了安全知识和最佳实践的传播。结论：讨论了发现对开源软件和供应链安全的影响，并为开源社区提出了建议。贡献：首次深入定性探索个人安全设置，揭示社会因素的关键作用，为改善开源供应链安全提供新视角。适合阅读对象：开源项目维护者、安全研究人员、devops工程师、供应链安全管理者。

本文提出了一种基于深度学习的可解释动态分析框架eDySec，用于检测PyPI生态系统中的恶意软件包。随着软件供应链攻击日益复杂，传统机器学习检测器难以应对高维稀疏的动态行为数据（如系统调用、网络流量、目录访问模式和依赖日志），导致性能不稳定且缺乏可解释性。eDySec利用深度学习模型从QUT-DV25数据集中提取安装时和安装后的行为特征，通过特征选择、模型稳定性分析和可解释AI技术，实现了高效、稳定且透明的恶意包检测。实验结果表明，eDySec在多个指标上显著优于现有框架：特征维度减半，误报率降低82%，漏报率降低79%，准确率提升3%，接近完美的稳定性，且每个包的平均推理延迟仅为170毫秒。研究还发现，特征与模型组合的选择对性能至关重要。该框架适合安全分析师、软件供应链安全研究人员以及PyPI维护者参考，以提升对下一代动态攻击的防御能力。