Ko nga kaiwhakawhanake o te papanga Packj, e tātari ana i te haumarutanga o nga whare pukapuka, kua whakaputahia he taputapu raina whakahau tuwhera e taea ai e ratou te tautuhi i nga hanganga morearea i roto i nga kohinga e pa ana ki te whakatinanatanga o nga mahi kino, te aroaro ranei o nga whakaraeraetanga e whakamahia ana hei whakaeke i nga whakaeke. i runga i nga kaupapa e whakamahi ana i nga paanui e pa ana (" mekameka tuku "). Kei te tautokohia te arowhai kete i roto i nga reo Python me te JavaScript, kei roto i nga raarangi PyPi me te NPM (kei te whakamahere ano ratou ki te taapiri tautoko mo Ruby me RubyGems i tenei marama). Ko te waehere kete taputapu kua tuhia ki te Python ka tohatohahia i raro i te raihana AGPLv3.
I roto i te tātaritanga o te 330 mano nga paanui ma te whakamahi i nga taputapu i whakaarohia i roto i te putunga PyPi, 42 nga paanui kino me nga kuaha o muri me te 2.4 mano nga paanui morearea i kitea. I te wa e tirotirohia ana, ka mahia he tātaritanga waehere pateko ki te tautuhi i nga ahuatanga API me te arotake i te aroaro o nga whakaraeraetanga e mohiotia ana i tuhia i roto i te papaarangi OSV. Ka whakamahia te kete MalOSS hei tātari i te API. Ka wetewetehia te waehere kete mo te ahua o nga tauira angamaheni e whakamahia ana i roto i te malware. I whakaritea nga tauira i runga i te rangahau o nga paatete 651 me nga mahi kino kua whakapumautia.
Ka tautuhi ano hoki i nga huanga me nga metadata ka nui ake te tupono o te whakamahi kino, penei i te whakahaere i nga poraka ma te "eval" me te "exec", te whakaputa waehere hou i te wa e whakahaere ana, ma te whakamahi i nga tikanga waehere whakapouri, te raweke i nga taurangi taiao, te urunga kore ki nga konae, te uru atu ki nga rauemi whatunga i roto i nga tuhinga whakaurunga (setup.py), te whakamahi i te typequatting (te whakatau i nga ingoa e rite ana ki nga ingoa o nga whare pukapuka rongonui), te tautuhi i nga kaupapa tawhito me nga kaupapa kua whakarerea, e tohu ana i nga imeera me nga paetukutuku kore-kore, te kore o te putunga a te iwi me te waehere.
I tua atu, ka taea e tatou te kite i te tohu a etahi atu kairangahau haumarutanga o nga kohinga kino e rima i roto i te whare putunga PyPi, i tukuna nga ihirangi o nga taurangi taiao ki tetahi tūmau o waho me te tumanako ki te tahae i nga tohu mo te AWS me nga punaha whakauru tonu: loglib-modules (kua whakaatuhia hei kōwae mo te whare pukapuka loglib tika), pyg-modules , pygrata me pygrata-utils (e kiia ana he taapiri ki te whare pukapuka pyg tika) me te hkg-sol-utils.
Source: opennet.ru