Линукс сангаас үүсгэн байгуулсан, нээлттэй эхийн програм хангамжийн аюулгүй байдлыг сайжруулах зорилготой OpenSSF (Нээлттэй эхийн аюулгүй байдлын сан) нь багцад хортой код байгаа эсэхийг шинжлэх системийг хөгжүүлдэг багцын дүн шинжилгээ хийх нээлттэй төслийг нэвтрүүлсэн. Төслийн код нь Go дээр бичигдсэн бөгөөд Apache 2.0 лицензийн дагуу түгээгддэг. Санал болгож буй хэрэгслүүдийг ашиглан NPM болон PyPI репозиторыг урьдчилсан байдлаар сканнердсан нь урьд өмнө илрүүлээгүй 200 гаруй хортой багцыг илрүүлэх боломжийг бидэнд олгосон.
Тодорхойлсон асуудалтай багцуудын дийлэнх хэсэг нь төслийн дотоод нийтийн бус хамааралтай нэрийн огтлолцол (хамааралтай төөрөгдлийн халдлага) эсвэл үсгийн алдааны аргуудыг ашигладаг (түгээмэл номын сангийн нэртэй төстэй нэр өгөх), мөн гадаад хостуудад ханддаг скриптүүдийг дууддаг. суулгах үйл явц. Package Analysis-ийн хөгжүүлэгчидийн үзэж байгаагаар илэрсэн асуудалтай багцуудын ихэнхийг алдааны урамшууллын хөтөлбөрт хамрагдсан аюулгүй байдлын судлаачид үүсгэсэн байх магадлалтай, учир нь илгээсэн өгөгдөл нь хэрэглэгчийн болон системийн нэрээр хязгаарлагддаг бөгөөд үйлдлүүд нь тодорхой, тодорхой, ямар ч оролдлогогүйгээр хийгддэг. зан авираа нуух.
Хортой үйл ажиллагаа бүхий багцуудад:
- raw.githubusercontent.com, Discord API болон ipinfo.io руу хэвийн бус хүсэлт илгээхийг бүртгэдэг PyPI багц discordcmd. Заасан багц нь GitHub-аас арын хаалганы кодыг татаж аваад Discord Windows клиентийн лавлахад суулгасны дараа файлын системээс Discord токенуудыг хайж, халдагчдын удирддаг гадаад Discord сервер рүү илгээх процессыг эхлүүлсэн.
- Colorss NPM багц нь мөн Discord данснаас гадаад сервер рүү жетон илгээхийг оролдсон.
- NPM багц @roku-web-core/ajax - суулгах явцад системийн тухай мэдээлэл илгээж, гадаад холболтыг хүлээн авч командуудыг ажиллуулдаг зохицуулагчийг (урвуу бүрхүүл) эхлүүлсэн.
- PyPI багц secrevthree - тодорхой модулийг импортлох үед урвуу бүрхүүлийг эхлүүлсэн.
- NPM багц санамсаргүй ваучер код үүсгэгч - номын санг импортлосны дараа гадаад сервер рүү хүсэлт илгээсэн бөгөөд энэ нь тушаал болон түүнийг ажиллуулах цагийг буцаадаг.
Багцын шинжилгээний ажил нь сүлжээний холболт үүсгэх, файлд хандах, тушаалуудыг ажиллуулах эх код дахь кодын багцуудыг шинжлэхэд чиглэдэг. Нэмж дурдахад, анхны хор хөнөөлгүй програм хангамжийн хувилбаруудын аль нэгэнд хортой оруулга нэмэгдсэн эсэхийг тодорхойлохын тулд багцын төлөвийн өөрчлөлтийг хянадаг. Хадгалах газар дахь шинэ багцуудын харагдах байдлыг хянах, өмнө нь байршуулсан багцуудад өөрчлөлт оруулахын тулд NPM, PyPI, Go, RubyGems, Packagist, NuGet, Crate репозиторуудтай ажлыг нэгтгэдэг Багцын хангамжийн хэрэгслийг ашигладаг.
Багцын шинжилгээ нь хамтад нь болон тусад нь ашиглаж болох гурван үндсэн бүрэлдэхүүн хэсгийг агуулдаг:
- Багц хангамжийн өгөгдөл дээр үндэслэн багцын шинжилгээний ажлыг эхлүүлэх хуваарьлагч.
- Статик анализ болон динамик мөшгих аргуудыг ашиглан багцыг шууд шалгаж, түүний зан төлөвийг үнэлдэг анализатор. Туршилтыг тусгаарлагдсан орчинд явуулдаг.
- Туршилтын үр дүнг BigQuery санд байршуулдаг дуудагч.
Эх сурвалж: opennet.ru