ಲೈಬ್ರರಿಗಳ ಸುರಕ್ಷತೆಯನ್ನು ವಿಶ್ಲೇಷಿಸುವ Packj ಪ್ಲಾಟ್ಫಾರ್ಮ್ನ ಡೆವಲಪರ್ಗಳು ತೆರೆದ ಕಮಾಂಡ್ ಲೈನ್ ಟೂಲ್ಕಿಟ್ ಅನ್ನು ಪ್ರಕಟಿಸಿದ್ದಾರೆ, ಇದು ದುರುದ್ದೇಶಪೂರಿತ ಚಟುವಟಿಕೆಯ ಅನುಷ್ಠಾನ ಅಥವಾ ದಾಳಿಗಳನ್ನು ನಡೆಸಲು ಬಳಸುವ ದುರ್ಬಲತೆಗಳ ಉಪಸ್ಥಿತಿಯೊಂದಿಗೆ ಸಂಬಂಧಿಸಬಹುದಾದ ಪ್ಯಾಕೇಜ್ಗಳಲ್ಲಿ ಅಪಾಯಕಾರಿ ರಚನೆಗಳನ್ನು ಗುರುತಿಸಲು ಅನುವು ಮಾಡಿಕೊಡುತ್ತದೆ. ಪ್ರಶ್ನೆಯಲ್ಲಿರುವ ಪ್ಯಾಕೇಜುಗಳನ್ನು ಬಳಸುವ ಯೋಜನೆಗಳಲ್ಲಿ ("ಪೂರೈಕೆ ಸರಪಳಿ"). PyPi ಮತ್ತು NPM ಡೈರೆಕ್ಟರಿಗಳಲ್ಲಿ ಹೋಸ್ಟ್ ಮಾಡಲಾದ ಪೈಥಾನ್ ಮತ್ತು ಜಾವಾಸ್ಕ್ರಿಪ್ಟ್ ಭಾಷೆಗಳಲ್ಲಿ ಪ್ಯಾಕೇಜ್ ಪರಿಶೀಲನೆಯನ್ನು ಬೆಂಬಲಿಸಲಾಗುತ್ತದೆ (ಅವರು ಈ ತಿಂಗಳು ರೂಬಿ ಮತ್ತು ರೂಬಿಜೆಮ್ಗಳಿಗೆ ಬೆಂಬಲವನ್ನು ಸೇರಿಸಲು ಯೋಜಿಸಿದ್ದಾರೆ). ಟೂಲ್ಕಿಟ್ ಕೋಡ್ ಅನ್ನು ಪೈಥಾನ್ನಲ್ಲಿ ಬರೆಯಲಾಗಿದೆ ಮತ್ತು AGPLv3 ಪರವಾನಗಿ ಅಡಿಯಲ್ಲಿ ವಿತರಿಸಲಾಗಿದೆ.
PyPi ರೆಪೊಸಿಟರಿಯಲ್ಲಿ ಪ್ರಸ್ತಾವಿತ ಪರಿಕರಗಳನ್ನು ಬಳಸಿಕೊಂಡು 330 ಸಾವಿರ ಪ್ಯಾಕೇಜುಗಳ ವಿಶ್ಲೇಷಣೆಯ ಸಮಯದಲ್ಲಿ, ಹಿಂಬಾಗಿಲನ್ನು ಹೊಂದಿರುವ 42 ದುರುದ್ದೇಶಪೂರಿತ ಪ್ಯಾಕೇಜ್ಗಳು ಮತ್ತು 2.4 ಸಾವಿರ ಅಪಾಯಕಾರಿ ಪ್ಯಾಕೇಜ್ಗಳನ್ನು ಗುರುತಿಸಲಾಗಿದೆ. ತಪಾಸಣೆಯ ಸಮಯದಲ್ಲಿ, API ವೈಶಿಷ್ಟ್ಯಗಳನ್ನು ಗುರುತಿಸಲು ಮತ್ತು OSV ಡೇಟಾಬೇಸ್ನಲ್ಲಿ ಗುರುತಿಸಲಾದ ತಿಳಿದಿರುವ ದುರ್ಬಲತೆಗಳ ಉಪಸ್ಥಿತಿಯನ್ನು ಮೌಲ್ಯಮಾಪನ ಮಾಡಲು ಸ್ಥಿರ ಕೋಡ್ ವಿಶ್ಲೇಷಣೆಯನ್ನು ನಡೆಸಲಾಗುತ್ತದೆ. API ಅನ್ನು ವಿಶ್ಲೇಷಿಸಲು MalOSS ಪ್ಯಾಕೇಜ್ ಅನ್ನು ಬಳಸಲಾಗುತ್ತದೆ. ಮಾಲ್ವೇರ್ನಲ್ಲಿ ಸಾಮಾನ್ಯವಾಗಿ ಬಳಸುವ ವಿಶಿಷ್ಟ ಮಾದರಿಗಳ ಉಪಸ್ಥಿತಿಗಾಗಿ ಪ್ಯಾಕೇಜ್ ಕೋಡ್ ಅನ್ನು ವಿಶ್ಲೇಷಿಸಲಾಗುತ್ತದೆ. ದೃಢೀಕೃತ ದುರುದ್ದೇಶಪೂರಿತ ಚಟುವಟಿಕೆಯೊಂದಿಗೆ 651 ಪ್ಯಾಕೆಟ್ಗಳ ಅಧ್ಯಯನದ ಆಧಾರದ ಮೇಲೆ ಟೆಂಪ್ಲೇಟ್ಗಳನ್ನು ಸಿದ್ಧಪಡಿಸಲಾಗಿದೆ.
ಇದು "eval" ಅಥವಾ "exec" ಮೂಲಕ ಬ್ಲಾಕ್ಗಳನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸುವುದು, ರನ್ಟೈಮ್ನಲ್ಲಿ ಹೊಸ ಕೋಡ್ ಅನ್ನು ರಚಿಸುವುದು, ಅಸ್ಪಷ್ಟ ಕೋಡ್ ತಂತ್ರಗಳನ್ನು ಬಳಸುವುದು, ಪರಿಸರ ವೇರಿಯಬಲ್ಗಳನ್ನು ಕುಶಲತೆಯಿಂದ ನಿರ್ವಹಿಸುವುದು, ಫೈಲ್ಗಳಿಗೆ ಗುರಿಯಿಲ್ಲದ ಪ್ರವೇಶದಂತಹ ದುರ್ಬಳಕೆಯ ಅಪಾಯವನ್ನು ಹೆಚ್ಚಿಸುವ ಗುಣಲಕ್ಷಣಗಳು ಮತ್ತು ಮೆಟಾಡೇಟಾವನ್ನು ಗುರುತಿಸುತ್ತದೆ. ಇನ್ಸ್ಟಾಲೇಶನ್ ಸ್ಕ್ರಿಪ್ಟ್ಗಳಲ್ಲಿ (setup.py) ನೆಟ್ವರ್ಕ್ ಸಂಪನ್ಮೂಲಗಳನ್ನು ಪ್ರವೇಶಿಸುವುದು, ಟೈಪ್ಕ್ವಾಟಿಂಗ್ ಅನ್ನು ಬಳಸುವುದು (ಜನಪ್ರಿಯ ಲೈಬ್ರರಿಗಳ ಹೆಸರನ್ನು ಹೋಲುವ ಹೆಸರುಗಳನ್ನು ನಿಯೋಜಿಸುವುದು), ಹಳತಾದ ಮತ್ತು ಕೈಬಿಟ್ಟ ಯೋಜನೆಗಳನ್ನು ಗುರುತಿಸುವುದು, ಅಸ್ತಿತ್ವದಲ್ಲಿಲ್ಲದ ಇಮೇಲ್ಗಳು ಮತ್ತು ವೆಬ್ಸೈಟ್ಗಳನ್ನು ನಿರ್ದಿಷ್ಟಪಡಿಸುವುದು, ಕೋಡ್ನೊಂದಿಗೆ ಸಾರ್ವಜನಿಕ ಭಂಡಾರದ ಕೊರತೆ.
ಹೆಚ್ಚುವರಿಯಾಗಿ, PyPi ರೆಪೊಸಿಟರಿಯಲ್ಲಿನ ಐದು ದುರುದ್ದೇಶಪೂರಿತ ಪ್ಯಾಕೇಜ್ಗಳ ಇತರ ಭದ್ರತಾ ಸಂಶೋಧಕರು ಗುರುತಿಸುವಿಕೆಯನ್ನು ನಾವು ಗಮನಿಸಬಹುದು, ಇದು AWS ಮತ್ತು ನಿರಂತರ ಏಕೀಕರಣ ವ್ಯವಸ್ಥೆಗಳಿಗಾಗಿ ಟೋಕನ್ಗಳನ್ನು ಕದಿಯುವ ನಿರೀಕ್ಷೆಯೊಂದಿಗೆ ಪರಿಸರ ವೇರಿಯಬಲ್ಗಳ ವಿಷಯಗಳನ್ನು ಬಾಹ್ಯ ಸರ್ವರ್ಗೆ ಕಳುಹಿಸಿದೆ: loglib-modules (ಇದರಂತೆ ಪ್ರಸ್ತುತಪಡಿಸಲಾಗಿದೆ ಕಾನೂನುಬದ್ಧ ಲಾಗ್ಲಿಬ್ ಲೈಬ್ರರಿಗಾಗಿ ಮಾಡ್ಯೂಲ್ಗಳು), ಪಿಗ್-ಮಾಡ್ಯೂಲ್ಗಳು, ಪೈಗ್ರಾಟಾ ಮತ್ತು ಪೈಗ್ರಾಟಾ-ಯುಟಿಲ್ಸ್ (ಕಾನೂನುಬದ್ಧ ಪಿಗ್ ಲೈಬ್ರರಿಗೆ ಸೇರ್ಪಡೆಗಳು ಎಂದು ಹೆಸರಿಸಲಾಗಿದೆ) ಮತ್ತು ಎಚ್ಕೆಜಿ-ಸೋಲ್-ಯುಟಿಲ್ಸ್.
ಮೂಲ: opennet.ru