Китепканалардын коопсуздугун талдоочу Packj платформасынын иштеп чыгуучулары зыяндуу аракеттерди ишке ашырууга же чабуулдарды жүзөгө ашыруу үчүн колдонулган алсыздыктардын болушуна байланыштуу пакеттердеги кооптуу структураларды аныктоого мүмкүндүк берген ачык командалык сап инструменттерин чыгарышты. каралып жаткан пакеттерди колдонгон долбоорлор боюнча («жеткирүү тизмеги»). Пакетти текшерүү PyPi жана NPM каталогдорунда жайгаштырылган Python жана JavaScript тилдеринде колдоого алынат (алар дагы ушул айда Ruby жана RubyGems үчүн колдоо кошууну пландаштырууда). Куралдар комплектинин коду Python тилинде жазылган жана AGPLv3 лицензиясы боюнча таратылган.
PyPi репозиторийинде сунушталган инструменттердин жардамы менен 330 миң пакетти талдоо учурунда бэкдорлору бар 42 зыяндуу пакет жана 2.4 миң кооптуу пакет аныкталган. Текшерүүнүн жүрүшүндө API функцияларын аныктоо жана OSV маалымат базасында белгиленген белгилүү кемчиликтердин бар экендигин баалоо үчүн статикалык кодду талдоо жүргүзүлөт. MaLOSS пакети API талдоо үчүн колдонулат. Пакет коду кесепеттүү программаларда кеңири колдонулган типтүү үлгүлөрдүн болушу үчүн талданат. Калыптар зыяндуу аракети тастыкталган 651 пакетти изилдөөнүн негизинде даярдалган.
Ал ошондой эле туура эмес колдонуу тобокелдигине алып келген атрибуттарды жана метадайындарды аныктайт, мисалы, "баалоо" же "exec" аркылуу блокторду ишке ашыруу, иштеп жатканда жаңы кодду түзүү, бүдөмүк код ыкмаларын колдонуу, чөйрө өзгөрмөлөрүн башкаруу жана максаттуу эмес кирүү файлдар, орнотуу скрипттеринде (setup.py) тармак ресурстарына кирүү, typequatting колдонуу (популярдуу китепканалардын атына окшош аттарды берүү), эскирген жана ташталган долбоорлорду аныктоо, жок электрондук почталарды жана веб-сайттарды көрсөтүү, код менен коомдук репозиторийдин жоктугу.
Кошумчалай кетсек, башка коопсуздук изилдөөчүлөрү PyPi репозиторийиндеги беш зыяндуу пакеттердин идентификациясын белгилей алабыз, алар AWS жана үзгүлтүксүз интеграция тутумдары үчүн токендерди уурдоону күтүү менен тышкы серверге чөйрө өзгөрмөлөрүнүн мазмунун жөнөтүштү: loglib-модулдары (болжол менен сунушталат) мыйзамдуу логлиб китепканасы үчүн модулдар), pyg-модульдер, pygrata жана pygrata-utils (мыйзамдуу pyg китепканасына кошумчалар катары айтылган) жана hkg-sol-utils.
Source: opennet.ru
