Packj پليٽ فارم جي ڊولپرز، جيڪو لائبريرين جي سيڪيورٽي جو تجزيو ڪري ٿو، هڪ کليل ڪمانڊ لائن ٽول ڪٽ شايع ڪيو آهي جيڪو انهن کي پيڪيجز ۾ خطرناڪ ڍانچي جي نشاندهي ڪرڻ جي اجازت ڏئي ٿو جيڪي شايد بدسلوڪي سرگرمي جي عمل سان لاڳاپيل هجن يا حملن کي انجام ڏيڻ لاء استعمال ٿيل خطرن جي موجودگي سان. سوال ۾ پيڪيجز استعمال ڪندي منصوبن تي ("سپلائي چين"). پيڪيج چيڪنگ پٿون ۽ جاوا اسڪرپٽ ٻولين ۾ سپورٽ ڪئي وئي آهي، PyPi ۽ NPM ڊائريڪٽرن ۾ ميزباني ڪئي وئي آهي (اهي پڻ هن مهيني روبي ۽ روبي گيمز لاءِ سپورٽ شامل ڪرڻ جو ارادو رکن ٿا). ٽول کٽ ڪوڊ Python ۾ لکيل آهي ۽ AGPLv3 لائسنس تحت ورهايو ويو آهي.
PyPi مخزن ۾ تجويز ڪيل اوزار استعمال ڪندي 330 هزار پيڪيجز جي تجزيي دوران، 42 خراب پيڪيجز سان گڏ پٺتي پيل ۽ 2.4 هزار خطرناڪ پيڪيجز جي نشاندهي ڪئي وئي. معائني دوران، هڪ جامد ڪوڊ تجزيو ڪيو ويندو آهي API خاصيتن کي سڃاڻڻ ۽ OSV ڊيٽابيس ۾ ڄاڻايل ڄاڻايل خطرن جي موجودگي جو جائزو وٺڻ لاءِ. MalOSS پيڪيج استعمال ڪيو ويندو آهي API جو تجزيو ڪرڻ لاءِ. پيڪيج ڪوڊ عام طور تي مالويئر ۾ استعمال ٿيندڙ عام نمونن جي موجودگي لاءِ تجزيو ڪيو ويو آهي. ٽيمپليٽس 651 پيڪٽس جي مطالعي جي بنياد تي تيار ڪيا ويا جن جي تصديق ٿيل بدسلوڪي سرگرمي سان.
اهو انهن خاصيتن ۽ ميٽا ڊيٽا جي پڻ نشاندهي ڪري ٿو جيڪي غلط استعمال جي وڌندڙ خطري کي ڏسن ٿا، جهڙوڪ "ايوال" يا "ايگزيڪيوشن" ذريعي بلاڪ تي عمل ڪرڻ، رن ٽائم تي نئون ڪوڊ پيدا ڪرڻ، مبهم ڪوڊ ٽيڪنڪ استعمال ڪرڻ، ماحول جي متغيرن کي هٿي ڏيڻ، فائلن تائين غير ٽارگيٽ رسائي، انسٽاليشن اسڪرپٽ ۾ نيٽ ورڪ وسيلن تائين رسائي (setup.py)، ٽائپس ڪوئٽنگ استعمال ڪندي (مشهور لائبريرين جي نالن سان ملندڙ جلندڙ نالا مقرر ڪرڻ)، پراڻي ۽ ختم ٿيل منصوبن جي نشاندهي ڪرڻ، غير موجود اي ميلن ۽ ويب سائيٽن جي وضاحت ڪرڻ، ڪوڊ سان گڏ عوامي مخزن جي کوٽ.
اضافي طور تي، اسان PyPi مخزن ۾ پنجن بدسلوڪي پيڪيجز جي ٻين حفاظتي محققن جي سڃاڻپ کي نوٽ ڪري سگهون ٿا، جيڪو AWS ۽ مسلسل انٽيگريشن سسٽم لاءِ ٽوڪن چوري ڪرڻ جي اميد سان ماحول جي متغيرن جي مواد کي ٻاهرين سرور ڏانهن موڪلي ٿو: loglib-modules (پيش ڪيل طور تي. جائز لاگليب لائبريري لاءِ ماڊلز)، پيگ-ماڊيولز، پائگراٽا ۽ پائگراٽا-يوٽيل (جنهن کي جائز پيگ لائبريري ۾ شامل ڪيو ويو) ۽ hkg-sol-utils.
جو ذريعو: opennet.ru