Liburutegien segurtasuna aztertzen duen Packj plataformako garatzaileek komando-lerro irekiko tresna-kit bat argitaratu dute, eta horri esker, arrisku-egiturak identifikatzea ahalbidetzen dute, jarduera gaiztoak ezartzearekin edo erasoak egiteko erabiltzen diren ahultasunen presentziarekin lotu daitezkeen paketeetan. kasuan kasuko paketeak erabiltzen dituzten proiektuetan (“hornikuntza-katea”). Paketeen egiaztapena Python eta JavaScript lengoaietan onartzen da, PyPi eta NPM direktorioetan (Ruby eta RubyGems-en laguntza gehitzea ere aurreikusi dute hilabete honetan). Tresna-kodea Python-en idatzita dago eta AGPLv3 lizentziapean banatzen da.
PyPi biltegian proposatutako tresnak erabiliz 330 mila paketeren azterketan, atzeko ateak dituzten 42 pakete gaizto eta 2.4 mila pakete arriskutsu identifikatu ziren. Ikuskapenean, kode estatikoko analisia egiten da APIaren ezaugarriak identifikatzeko eta OSV datu-basean adierazitako ahultasun ezagunen presentzia ebaluatzeko. MalOSS paketea APIa aztertzeko erabiltzen da. Paketearen kodea malwarean erabili ohi diren eredu tipikoen presentzia aztertzen da. Txantiloiak jarduera gaiztoa baieztatu duten 651 paketeren azterketan oinarrituta prestatu dira.
Erabilera okerreko arriskua areagotzen duten atributuak eta metadatuak ere identifikatzen ditu, hala nola blokeak "eval" edo "exec" bidez exekutatzea, exekuzioan kode berria sortzea, lausotutako kode teknikak erabiltzea, ingurune-aldagaiak manipulatzea, helbururik gabeko fitxategietarako sarbidea, sareko baliabideak instalatzeko scriptetan sartzea (setup.py), typequatting erabiliz (liburutegi ezagunen izenen antzeko izenak esleitzea), zaharkitutako eta abandonatutako proiektuak identifikatzea, existitzen ez diren posta elektronikoak eta webguneak zehaztuz, kodedun biltegi publikorik ez izatea.
Gainera, beste segurtasun ikertzaile batzuek PyPi biltegian asmo txarreko bost paketeren identifikazioa nabarmendu dezakegu, zeinak ingurune-aldagaien edukia kanpoko zerbitzari batera bidali zuten AWSrako eta etengabeko integrazio-sistemetarako tokenak lapurtzeko itxaropenarekin: loglib-moduluak (forma gisa aurkezten direnak). loglib liburutegi legitimorako moduluak), pyg-modules , pygrata eta pygrata-utils (pyg liburutegi legitimorako gehigarri gisa aurkeztuak) eta hkg-sol-utils.
Iturria: opennet.ru