የቤተ-መጻህፍትን ደህንነት የሚተነተን የፓኬጅ መድረክ አዘጋጆች ከተንኮል አዘል ድርጊቶች ትግበራ ወይም ጥቃቶችን ለመፈጸም ጥቅም ላይ የሚውሉ ተጋላጭነቶች መኖራቸውን በጥቅሎች ውስጥ አደገኛ አወቃቀሮችን ለመለየት የሚያስችል ክፍት የትእዛዝ መስመር መሣሪያ ስብስብ አሳትመዋል። በጥያቄ ውስጥ ያሉትን ጥቅሎች ("የአቅርቦት ሰንሰለት") በሚጠቀሙ ፕሮጀክቶች ላይ. የጥቅል ፍተሻ በPyPi እና NPM ማውጫዎች የሚስተናገደው በፓይዘን እና ጃቫ ስክሪፕት ቋንቋዎች ይደገፋል (በዚህ ወር ለሩቢ እና ሩቢ ጌምስ ድጋፍ ለመጨመር አቅደዋል)። የመሳሪያ ኪት ኮድ በፓይዘን የተፃፈ እና በ AGPLv3 ፍቃድ ስር ተሰራጭቷል።
በPyPi ማከማቻ ውስጥ የታቀዱትን መሳሪያዎች በመጠቀም 330 ሺህ ፓኬጆችን በመተንተን 42 ተንኮል አዘል ፓኬጆች ከኋላ እና 2.4 ሺህ አደገኛ ፓኬጆች ተለይተዋል። በፍተሻው ወቅት የኤፒአይ ባህሪያትን ለመለየት እና በOSV የውሂብ ጎታ ውስጥ የተገለጹትን የታወቁ ድክመቶች መኖራቸውን ለመገምገም የማይንቀሳቀስ ኮድ ትንተና ይከናወናል። የMaLOSS ጥቅል ኤፒአይን ለመተንተን ይጠቅማል። በተንኮል አዘል ዌር ውስጥ በብዛት ጥቅም ላይ የዋሉ የተለመዱ ቅጦች መኖራቸው የጥቅል ኮድ ተተነተነ። አብነቶች የተዘጋጁት በ651 ፓኬጆች ላይ ከተረጋገጠ ተንኮል አዘል እንቅስቃሴ ጋር በተደረገ ጥናት ነው።
በተጨማሪም አላግባብ የመጠቀም አደጋን የሚጨምሩ ባህሪያትን እና ዲበዳታዎችን ይለያል፣ ለምሳሌ ብሎኮችን በ"eval" ወይም"exec" በኩል ማስፈፀም፣ በ runtime ላይ አዲስ ኮድ ማመንጨት፣ የተደበቀ የኮድ ቴክኒኮችን በመጠቀም፣ የአካባቢ ተለዋዋጮችን መጠቀሚያ፣ ኢላማ ያልሆነ የፋይል መዳረሻ፣ በመጫኛ ስክሪፕቶች ውስጥ የአውታረ መረብ ሀብቶችን ማግኘት (setup.py) ፣ ታይፕ ኳቲንግን በመጠቀም (ከታዋቂ ቤተ-መጽሐፍት ስሞች ጋር ተመሳሳይ ስሞችን መመደብ) ፣ ጊዜ ያለፈባቸው እና የተተዉ ፕሮጀክቶችን መለየት ፣ ኢሜይሎችን እና ድረ-ገጾችን የማይገኙ ኢሜሎችን እና ድረ-ገጾችን መለየት ፣ የህዝብ ማከማቻ ከኮድ ጋር አለመኖር።
በተጨማሪም፣ በPyPi ማከማቻ ውስጥ ሌሎች የጸጥታ ተመራማሪዎች የአምስት ተንኮል-አዘል ፓኬጆችን መታወቂያ እናስተውላለን፣ ይህም የአካባቢ ተለዋዋጮች ይዘቶችን ወደ ውጫዊ አገልጋይ የላከውን ለ AWS እና ቀጣይነት ያለው የውህደት ስርዓቶችን መስረቅ ይጠበቃል፡ ሎግሊብ-ሞጁሎች (የቀረበው) ሞጁሎች ለሕጋዊው ሎግሊብ ቤተ-መጽሐፍት)፣ pyg-modules፣ pygrata እና pygrata-utils (ወደ ህጋዊው የፒግ ቤተ-መጽሐፍት ተጨማሪዎች ተብለው የሚወሰዱ) እና hkg-sol-utils።
ምንጭ: opennet.ru