நூலகங்களின் பாதுகாப்பை பகுப்பாய்வு செய்யும் Packj இயங்குதளத்தின் டெவலப்பர்கள், ஒரு திறந்த கட்டளை வரி கருவித்தொகுப்பை வெளியிட்டுள்ளனர், இது தீங்கிழைக்கும் செயல்பாட்டை செயல்படுத்துவது அல்லது தாக்குதல்களை நடத்தப் பயன்படுத்தப்படும் பாதிப்புகளின் இருப்பு ஆகியவற்றுடன் தொடர்புடைய அபாயகரமான கட்டமைப்புகளை அடையாளம் காண அனுமதிக்கிறது. கேள்விக்குரிய தொகுப்புகளைப் பயன்படுத்தும் திட்டங்களில் ("சப்ளை சங்கிலி"). PyPi மற்றும் NPM கோப்பகங்களில் ஹோஸ்ட் செய்யப்பட்ட பைதான் மற்றும் ஜாவாஸ்கிரிப்ட் மொழிகளில் தொகுப்புச் சரிபார்ப்பு ஆதரிக்கப்படுகிறது (அவர்கள் இந்த மாதம் ரூபி மற்றும் ரூபிஜெம்ஸிற்கான ஆதரவைச் சேர்க்க திட்டமிட்டுள்ளனர்). டூல்கிட் குறியீடு பைத்தானில் எழுதப்பட்டு AGPLv3 உரிமத்தின் கீழ் விநியோகிக்கப்படுகிறது.
PyPi களஞ்சியத்தில் முன்மொழியப்பட்ட கருவிகளைப் பயன்படுத்தி 330 ஆயிரம் தொகுப்புகளின் பகுப்பாய்வின் போது, பின்கதவுகளைக் கொண்ட 42 தீங்கிழைக்கும் தொகுப்புகள் மற்றும் 2.4 ஆயிரம் ஆபத்தான தொகுப்புகள் அடையாளம் காணப்பட்டன. ஆய்வின் போது, API அம்சங்களை அடையாளம் காணவும், OSV தரவுத்தளத்தில் குறிப்பிடப்பட்டுள்ள அறியப்பட்ட பாதிப்புகளின் இருப்பை மதிப்பிடவும் நிலையான குறியீடு பகுப்பாய்வு செய்யப்படுகிறது. API ஐ பகுப்பாய்வு செய்ய MalOSS தொகுப்பு பயன்படுத்தப்படுகிறது. மால்வேரில் பொதுவாகப் பயன்படுத்தப்படும் வழக்கமான வடிவங்களின் இருப்புக்காக தொகுப்புக் குறியீடு பகுப்பாய்வு செய்யப்படுகிறது. உறுதிப்படுத்தப்பட்ட தீங்கிழைக்கும் செயல்பாடு கொண்ட 651 பாக்கெட்டுகளின் ஆய்வின் அடிப்படையில் வார்ப்புருக்கள் தயாரிக்கப்பட்டன.
"eval" அல்லது "exec" வழியாக பிளாக்குகளை இயக்குதல், இயக்க நேரத்தில் புதிய குறியீட்டை உருவாக்குதல், குழப்பமான குறியீடு நுட்பங்களைப் பயன்படுத்துதல், சூழல் மாறிகளைக் கையாளுதல், கோப்புகளுக்கான இலக்கு அல்லாத அணுகல் போன்ற தவறான பயன்பாட்டின் அபாயத்திற்கு வழிவகுக்கும் பண்புக்கூறுகள் மற்றும் மெட்டாடேட்டாவையும் இது அடையாளம் காட்டுகிறது. நிறுவல் ஸ்கிரிப்ட்களில் பிணைய ஆதாரங்களை அணுகுதல் (setup.py), டைப்ஸ்குவாட்டிங் (பிரபலமான நூலகங்களின் பெயர்களைப் போன்ற பெயர்களை வழங்குதல்), காலாவதியான மற்றும் கைவிடப்பட்ட திட்டங்களைக் கண்டறிதல், இல்லாத மின்னஞ்சல்கள் மற்றும் இணையதளங்களைக் குறிப்பிடுதல், பொதுக் களஞ்சியத்தில் குறியீடு இல்லாதது.
கூடுதலாக, PyPi களஞ்சியத்தில் உள்ள ஐந்து தீங்கிழைக்கும் தொகுப்புகளின் பிற பாதுகாப்பு ஆராய்ச்சியாளர்களால் அடையாளம் காணப்பட்டதை நாம் கவனிக்க முடியும், இது AWS மற்றும் தொடர்ச்சியான ஒருங்கிணைப்பு அமைப்புகளுக்கான டோக்கன்களைத் திருடும் எதிர்பார்ப்புடன் சுற்றுச்சூழல் மாறிகளின் உள்ளடக்கங்களை வெளிப்புற சேவையகத்திற்கு அனுப்பியது: loglib-modules (இவ்வாறு வழங்கப்படுகிறது. முறையான loglib நூலகத்திற்கான தொகுதிகள்), pyg-modules , pygrata மற்றும் pygrata-utils (சட்டபூர்வமான pyg நூலகத்திற்குச் சேர்த்தல் எனப் பேசப்படுகிறது) மற்றும் hkg-sol-utils.
ஆதாரம்: opennet.ru