Номын сангийн аюулгүй байдалд дүн шинжилгээ хийдэг Packj платформын хөгжүүлэгчид хортой үйл ажиллагаа явуулахтай холбоотой эсвэл халдлага үйлдэхэд ашигладаг сул талуудтай холбоотой байж болох багц дахь эрсдэлтэй бүтцийг тодорхойлох боломжийг олгодог нээлттэй командын мөрийн хэрэгслийг нийтлэв. тухайн багцуудыг ашигласан төслүүд дээр (“нийлүүлэлтийн сүлжээ”). Багц шалгах ажиллагааг PyPi болон NPM лавлахуудад байршуулсан Python болон JavaScript хэл дээр дэмждэг (тэд энэ сард Ruby болон RubyGems-ийн дэмжлэгийг нэмэхээр төлөвлөж байна). Хэрэгслийн кодыг Python дээр бичсэн бөгөөд AGPLv3 лицензийн дагуу түгээдэг.
PyPi репозитор дахь санал болгож буй хэрэгслүүдийг ашиглан 330 мянган багцад дүн шинжилгээ хийх явцад арын хаалгатай 42 хортой, 2.4 мянган эрсдэлтэй багцыг илрүүлжээ. Хяналт шалгалтын явцад API функцуудыг тодорхойлох, OSV мэдээллийн санд тэмдэглэгдсэн мэдэгдэж буй сул талууд байгаа эсэхийг үнэлэхийн тулд статик кодын шинжилгээ хийдэг. API-г шинжлэхэд MaLOSS багцыг ашигладаг. Багцын кодыг хорлонтой программ дээр түгээмэл хэрэглэгддэг ердийн хэв маяг байгаа эсэхийг шинжилдэг. Хортой үйлдэл нь батлагдсан 651 пакетийг судалсны үндсэн дээр загваруудыг бэлтгэсэн.
Энэ нь мөн "eval" эсвэл "exec"-ээр блокуудыг гүйцэтгэх, ажиллаж байхдаа шинэ код үүсгэх, ойлгомжгүй кодын техникийг ашиглах, орчны хувьсагчдыг удирдах, зорилтот бус хандалт зэрэг буруугаар ашиглах эрсдэлд хүргэдэг шинж чанарууд болон мета өгөгдлийг тодорхойлдог. файлууд, суулгалтын скриптүүд (setup.py) дахь сүлжээний нөөцөд хандах, typequatting ашиглах (алдартай номын сангийн нэртэй төстэй нэр өгөх), хуучирсан болон орхигдсон төслүүдийг тодорхойлох, байхгүй цахим шуудан болон вэбсайтуудыг зааж өгөх, код бүхий олон нийтийн репозитор байхгүй байна.
Нэмж дурдахад, бусад аюулгүй байдлын судлаачид PyPi агуулах дахь AWS болон тасралтгүй интеграцийн системд зориулсан жетон хулгайлах хүлээлттэй гадаад сервер рүү орчны хувьсагчийн агуулгыг илгээсэн таван хортой багцыг илрүүлж байгааг бид тэмдэглэж болно: loglib-модуль (хэлбэрээр үзүүлэв). хууль ёсны loglib номын санд зориулсан модулиуд), pyg-modules , pygrata болон pygrata-utils (хууль ёсны pyg номын санд нэмэлт гэж заасан) болон hkg-sol-utils.
Эх сурвалж: opennet.ru