Таҳиягарони платформаи Packj, ки амнияти китобхонаҳоро таҳлил мекунад, як абзори кушодаи сатри фармонро нашр карданд, ки ба онҳо имкон медиҳад сохторҳои хатарнокро дар бастаҳо, ки метавонанд бо амалисозии фаъолияти зараровар ё мавҷудияти осебпазирӣ барои анҷом додани ҳамлаҳо алоқаманд бошанд, муайян кунанд. оид ба лоиҳаҳое, ки бастаҳои мавриди назар («занҷири таъминот») истифода мебаранд. Санҷиши бастаҳо бо забонҳои Python ва JavaScript, ки дар директорияҳои PyPi ва NPM ҷойгир шудаанд, дастгирӣ карда мешавад (онҳо инчунин нақша доранд, ки дар ин моҳ дастгирии Ruby ва RubyGems илова кунанд). Рамзи асбобҳо дар Python навишта шудааст ва таҳти иҷозатномаи AGPLv3 паҳн карда мешавад.
Ҳангоми таҳлили 330 ҳазор бастаҳо бо истифода аз абзорҳои пешниҳодшуда дар анбори PyPi, 42 бастаи зараровар бо пушти дарҳо ва 2.4 ҳазор бастаҳои хатарнок муайян карда шуданд. Ҳангоми санҷиш, барои муайян кардани хусусиятҳои API ва арзёбии мавҷудияти осебпазириҳои маълум, ки дар пойгоҳи додаҳои OSV қайд шудаанд, таҳлили коди статикӣ анҷом дода мешавад. Бастаи MaLOSS барои таҳлили API истифода мешавад. Рамзи бастаҳо барои мавҷудияти намунаҳои маъмулӣ, ки одатан дар нармафзори зараровар истифода мешаванд, таҳлил карда мешавад. Шаблонҳо дар асоси омӯзиши 651 бастаҳои дорои фаъолияти зараровар тасдиқшуда омода карда шудаанд.
Он инчунин атрибутҳо ва метамаълумотҳоро муайян мекунад, ки боиси афзоиши хатари сӯиистифода мешаванд, ба монанди иҷрои блокҳо тавассути "eval" ё "exec", тавлиди коди нав ҳангоми кор, бо истифода аз усулҳои коди печида, коркарди тағирёбандаҳои муҳити зист ва дастрасии ғайриҳадаф ба. файлҳо, дастрасӣ ба захираҳои шабакавӣ дар скриптҳои насбкунӣ (setup.py), истифодаи typequatting (таъин кардани номҳои монанд ба номҳои китобхонаҳои маъмул), муайян кардани лоиҳаҳои кӯҳна ва партофташуда, мушаххас кардани почтаи электронӣ ва вебсайтҳои мавҷуда, набудани анбори ҷамъиятӣ бо код.
Илова бар ин, мо метавонем аз ҷониби дигар муҳаққиқони амният муайян кардани панҷ бастаи зарароварро дар анбори PyPi қайд кунем, ки мундариҷаи тағирёбандаҳои муҳити зистро ба сервери беруна бо интизории дуздии нишонаҳо барои AWS ва системаҳои ҳамгироии муттасил фиристодаанд: loglib-модулҳо (ҳамчун пешниҳод карда мешаванд). модулҳо барои китобхонаи қонунии loglib), pyg-modules, pygrata ва pygrata-utils (ҳамчун иловаҳо ба китобхонаи қонунии pyg) ва hkg-sol-utils.
Манбаъ: opennet.ru