OpenSSF (Бунёди Амнияти Кушода), ки аз ҷониби Фонди Linux таъсис ёфтааст ва ба баланд бардоштани амнияти нармафзори кушодаасос нигаронида шудааст, лоиҳаи кушодаи Package Analysis -ро ҷорӣ кард, ки системаи таҳлили мавҷудияти коди зарароварро дар бастаҳо таҳия мекунад. Рамзи лоиҳа дар Go навишта шудааст ва таҳти иҷозатномаи Apache 2.0 паҳн карда мешавад. Сканкунии пешакии анбори NPM ва PyPI бо истифода аз абзорҳои пешниҳодшуда ба мо имкон дод, ки беш аз 200 бастаҳои зараровари қаблан ошкорнашударо муайян кунем.
Қисми асосии бастаҳои мушкили муайяншуда буриши номҳоро бо вобастагии дохилии ғайридавлатии лоиҳаҳо (ҳамлаи нофаҳмиҳои вобастагӣ) идора мекунанд ё усулҳои чопкуниро истифода мебаранд (таъин кардани номҳои шабеҳ ба номҳои китобхонаҳои маъмул) ва инчунин скриптҳоеро даъват мекунанд, ки дар давоми кор ба ҳостҳои беруна дастрасӣ доранд. раванди насб. Ба гуфтаи таҳиягарони Package Analysis, аксари бастаҳои муайяншудаи мушкилотро эҳтимолан аз ҷониби муҳаққиқони амниятӣ, ки дар барномаҳои мукофоти хатоҳо иштирок мекунанд, сохтаанд, зеро маълумоти ирсолшуда бо номи корбар ва система маҳдуд аст ва амалҳо ба таври возеҳ бидуни кӯшиши рафтори худро пинҳон мекунанд.
Бастаҳои дорои фаъолияти зараровар иборатанд аз:
- Бастаи PyPI discordcmd, ки фиристодани дархостҳои ғайриоддӣ ба raw.githubusercontent.com, Discord API ва ipinfo.io -ро сабт мекунад. Бастаи муайяншуда рамзи пушти дарро аз GitHub зеркашӣ кард ва онро дар феҳристи муштарии Discord Windows насб кард ва пас аз он раванди ҷустуҷӯи токенҳои Discord дар системаи файлӣ ва фиристодани онҳо ба сервери берунии Discord, ки ҳамлагарон назорат мекунанд, оғоз кард.
- Бастаи colorss NPM инчунин кӯшиш кард, ки токенҳоро аз ҳисоби Discord ба сервери беруна фиристад.
- Бастаи NPM @roku-web-core/ajax - дар ҷараёни насбкунӣ он маълумотро дар бораи система фиристод ва коркардкунандаро (шелли баръакс) оғоз кард, ки пайвастҳои беруна ва фармонҳоро оғоз мекунад.
- бастаи PyPI secrevthree - ҳангоми воридоти модули мушаххас як қабати баръаксро оғоз кард.
- Бастаи NPM random-vouchercode-generator - пас аз ворид кардани китобхона, он ба сервери беруна дархост фиристод, ки фармон ва вақти иҷро кардани онро баргардонд.
Кори таҳлили бастаҳо ба таҳлили бастаҳои кодҳо дар коди сарчашма барои барқарор кардани пайвастҳои шабакавӣ, дастрасӣ ба файлҳо ва иҷро кардани фармонҳо рост меояд. Илова бар ин, тағирот дар ҳолати бастаҳо барои муайян кардани иловаи замимаҳои зараровар дар яке аз нашрҳои нармафзори ибтидоӣ безарар назорат карда мешавад. Барои назорат кардани намуди бастаҳои нав дар анборҳо ва ворид кардани тағирот ба бастаҳои қаблан интишоршуда, абзори Package Feeds истифода мешавад, ки корҳоро бо анбори NPM, PyPI, Go, RubyGems, Packagist, NuGet ва Crate муттаҳид мекунад.
Таҳлили бастаҳо се ҷузъи асосиро дар бар мегирад, ки онҳоро ҳам дар якҷоягӣ ва ҳам алоҳида истифода бурдан мумкин аст:
- Банақшагири барои оғоз кардани кори таҳлили бастаҳо дар асоси маълумот аз бастаҳои Feeds.
- Анализаторе, ки бевосита бастаро тафтиш мекунад ва рафтори онро бо истифода аз таҳлили статикӣ ва усулҳои пайгирии динамикӣ арзёбӣ мекунад. Санҷиш дар муҳити ҷудошуда гузаронида мешавад.
- Боркунак, ки натиҷаҳои санҷишро дар анбори BigQuery ҷойгир мекунад.
Манбаъ: opennet.ru