د پیکج پلیټ فارم پراختیا کونکي ، کوم چې د کتابتونونو امنیت تحلیل کوي ، د خلاص کمانډ لاین توکی کټ خپور کړی چې دوی ته اجازه ورکوي په کڅوړو کې خطرناک جوړښتونه وپیژني کوم چې ممکن د ناوړه فعالیت پلي کولو یا د بریدونو ترسره کولو لپاره کارول شوي زیانونو شتون سره تړاو ولري. په هغو پروژو کې چې د پوښتنې لاندې کڅوړې کاروي ("د اکمالاتو سلسله"). د بسته بندۍ چک کول په Python او JavaScript ژبو کې ملاتړ کیږي، چې د PyPi او NPM لارښودونو کې کوربه شوي (دوی هم پالن لري چې پدې میاشت کې د روبي او روبي جیمز لپاره ملاتړ اضافه کړي). د اوزار کټ کوډ په Python کې لیکل شوی او د AGPLv3 جواز لاندې ویشل شوی.
د PyPi ذخیره کې د وړاندیز شوي وسیلو په کارولو سره د 330 زره کڅوړو تحلیل په جریان کې ، د شاته دروازو سره 42 ناوړه کڅوړې او 2.4 زره خطرناک کڅوړې پیژندل شوي. د تفتیش په جریان کې، د جامد کوډ تحلیل ترسره کیږي ترڅو د API ځانګړتیاوې وپیژني او د OSV ډیټابیس کې د پیژندل شوي زیانمننې شتون ارزونه وکړي. د مالوس بسته د API تحلیل لپاره کارول کیږي. د بسته کوډ د عادي نمونو شتون لپاره تحلیل کیږي چې معمولا په مالویر کې کارول کیږي. ټیمپلیټونه د تایید شوي ناوړه فعالیت سره د 651 پاکټونو مطالعې پراساس چمتو شوي.
دا هغه ځانګړتیاوې او میټاډاټا هم پیژني چې د ناوړه ګټې اخیستنې د زیاتوالي خطر رامینځته کوي، لکه د "eval" یا "exec" له لارې د بلاکونو اجرا کول، د چلولو په وخت کې د نوي کوډ رامینځته کول، د پټو کوډ تخنیکونو کارول، د چاپیریال متغیراتو سمبالول، او غیر هدف ته لاسرسی. فایلونه، د نصب کولو سکریپټونو کې د شبکې سرچینو ته لاسرسی (setup.py)، د ډولونو کارول (د مشهور کتابتونونو نومونو ته ورته نومونه ټاکل)، د پخوانیو او پریښودو پروژو پیژندل، د غیر موجود بریښنالیکونو او ویب پاڼو مشخص کول، د کوډ سره د عامه ذخیره نشتوالی.
سربیره پردې، موږ کولی شو د PyPi ذخیره کې د پنځو ناوړه کڅوړو د نورو امنیتي څیړونکو لخوا پیژندنه یادونه وکړو، کوم چې د چاپیریال متغیرونو مینځپانګې د AWS او دوامداره ادغام سیسټمونو لپاره د ټوکنونو غلا کولو تمه سره بهرني سرور ته لیږلي: loglib-modules (په توګه وړاندې شوي. د مشروع loglib کتابتون لپاره ماډلونه)، pyg-modules، pygrata او pygrata-utils (د مشروع پیګ کتابتون لپاره د اضافو په توګه یاد شوي) او hkg-sol-utils.
سرچینه: opennet.ru