စာကြည့်တိုက်များ၏ လုံခြုံရေးကို ပိုင်းခြားစိတ်ဖြာသည့် Packj ပလပ်ဖောင်း၏ developer များသည် ၎င်းတို့အား အန္တရာယ်ရှိသော လုပ်ဆောင်ချက် သို့မဟုတ် တိုက်ခိုက်မှုများကို လုပ်ဆောင်ရန် အသုံးပြုသည့် အားနည်းချက်များ ရှိနေနိုင်သည့် ပက်ကေ့ဂျ်များတွင် အန္တရာယ်ရှိသော ဖွဲ့စည်းပုံများကို ရှာဖွေဖော်ထုတ်နိုင်စေမည့် အဖွင့် command line toolkit ကို ထုတ်ဝေခဲ့သည်။ မေးခွန်းရှိ ပက်ကေ့ဂျ်များကို အသုံးပြုသည့် ပရောဂျက်များ ("ထောက်ပံ့ရေးကွင်းဆက်")။ ပက်ကေ့ဂျ်စစ်ဆေးခြင်းကို PyPi နှင့် NPM လမ်းညွှန်များတွင် လက်ခံဆောင်ရွက်ပေးသည့် Python နှင့် JavaScript ဘာသာစကားများဖြင့် ပံ့ပိုးပေးသည် (၎င်းတို့သည် ယခုလတွင် Ruby နှင့် RubyGems အတွက် ပံ့ပိုးကူညီမှုကိုလည်း ထည့်သွင်းရန် စီစဉ်ထားသည်)။ ကိရိယာတန်ဆာပလာကုဒ်ကို Python ဖြင့် ရေးသားထားပြီး AGPLv3 လိုင်စင်အောက်တွင် ဖြန့်ဝေထားသည်။
PyPi သိုလှောင်မှုတွင် အဆိုပြုထားသော ကိရိယာများကို အသုံးပြု၍ အထုပ်ပေါင်း 330 ကို ခွဲခြမ်းစိတ်ဖြာလေ့လာစဉ်အတွင်း ဘေးတိုက်ပါရှိသော အန္တရာယ်ရှိသော ပက်ကေ့ခ်ျ 42 ခုနှင့် အန္တရာယ်ရှိသော ပက်ကေ့ခ်ျ 2.4 ကို ဖော်ထုတ်ခဲ့သည်။ စစ်ဆေးနေစဉ်အတွင်း၊ API အင်္ဂါရပ်များကို ခွဲခြားသတ်မှတ်ရန်နှင့် OSV ဒေတာဘေ့စ်တွင် မှတ်သားထားသော အားနည်းချက်များရှိနေခြင်းကို အကဲဖြတ်ရန်အတွက် static code ခွဲခြမ်းစိတ်ဖြာမှုကို လုပ်ဆောင်ပါသည်။ API ကိုခွဲခြမ်းစိတ်ဖြာရန် MalOSS ပက်ကေ့ဂျ်ကိုအသုံးပြုသည်။ malware တွင် အသုံးများသော ပုံမှန်ပုံစံများ ရှိနေခြင်းအတွက် ပက်ကေ့ကုဒ်ကို ခွဲခြမ်းစိတ်ဖြာပါသည်။ အတည်ပြုထားသော အန္တရာယ်ရှိသော လုပ်ဆောင်ချက်ပါရှိသော အထုပ် 651 ခုကို လေ့လာမှုအပေါ် အခြေခံ၍ ပုံစံပလိတ်များကို ပြင်ဆင်ထားပါသည်။
၎င်းသည် “eval” သို့မဟုတ် “exec” မှတဆင့် ပိတ်ဆို့ခြင်းများ လုပ်ဆောင်ခြင်း၊ ရှုပ်ထွေးနေသော ကုဒ်နည်းစနစ်များကို အသုံးပြုခြင်း၊ runtime တွင် ကုဒ်အသစ်များ ဖန်တီးခြင်း၊ ရှုပ်ထွေးနေသော ကုဒ်နည်းစနစ်များကို အသုံးပြုခြင်း၊ ပတ်ဝန်းကျင် ကိန်းရှင်များကို ကိုင်တွယ်ခြင်း၊ ဖိုင်များသို့ ပစ်မှတ်မရှိသော ဝင်ရောက်ခွင့်၊ တပ်ဆင်စခရစ်များ (setup.py) တွင် ကွန်ရက်အရင်းအမြစ်များကို ဝင်ရောက်ကြည့်ရှုခြင်း၊ typesquatting (နာမည်ကြီး စာကြည့်တိုက်များ၏ အမည်များနှင့် ဆင်တူသော အမည်များကို သတ်မှတ်ပေးခြင်း)၊ ခေတ်မမီတော့သော ပရောဂျက်များကို ခွဲခြားသတ်မှတ်ခြင်း၊ တည်ရှိခြင်းမရှိသော အီးမေးလ်များနှင့် ဝဘ်ဆိုက်များကို သတ်မှတ်ခြင်း၊ အများသူငှာ သိုလှောင်မှုတွင် ကုဒ်မရှိခြင်းတို့ကို အသုံးပြုခြင်း။
ထို့အပြင်၊ AWS နှင့် စဉ်ဆက်မပြတ်ပေါင်းစပ်စနစ်များ- loglib-modules (တင်ပြထားသည့်အတိုင်း တင်ပြထားသော တိုကင်များခိုးယူခြင်းဆိုင်ရာ တိုကင်များကို ခိုးယူရန်မျှော်လင့်ချက်ဖြင့် ပြင်ပဆာဗာသို့ ပေးပို့သည့် PyPi repository ရှိ အန္တရာယ်ရှိသော ပက်ကေ့ဂျ်ငါးခု၏ အခြားလုံခြုံရေးသုတေသီများက သက်သေခံချက်ကို ကျွန်ုပ်တို့ မှတ်သားနိုင်ပါသည်။ တရားဝင် loglib စာကြည့်တိုက်အတွက် မော်ဂျူးများ)၊ pyg-modules၊ pygrata နှင့် pygrata-utils (တရားဝင် pyg စာကြည့်တိုက်တွင် ဖြည့်စွက်မှုများအဖြစ် အမွှမ်းတင်ထားသည်) နှင့် hkg-sol-utils။
source: opennet.ru