AuraBorealisApp

Auraborealis هو تطبيق ويب لتصور رمز شاذة وربما ضار في سجلات حزمة بيثون. يستخدم بيانات تدقيق الأمان التي يتم إنتاجها عن طريق مسح فهرس Python Package (PYPI) عبر Aura ، وهو تحليل ثابت مصمم للتدقيق الأمني ​​على نطاق واسع لحزم Python. الأداة الحالية هي دليل على المفهوم ، وتتضمن بعض بيانات الهالة الحية ، وكذلك بعض بيانات الاستيعاب لأغراض تجريبية.

تشمل الميزات الحالية:

• مسح سجل حزمة Python بأكمله إلى:

  • قائمة الحزم مع أكبر عدد من التحذيرات الأمنية ، مرتبة حسب نوع تحذير الهالة
  • قائمة الحزم مرتبة حسب العدد الكلي والفريد من التحذيرات
  • قائمة الحزم من خلال درجة شدتها الإجمالية

• عرض تحذيرات أمنية لحزمة فردية ، مرتبة حسب الحرجية

• تصور أرقام الأسطر وخطوط التعليمات البرمجية في الملفات التي تولد تحذيرات أمان لحزمة محددة

• قارن حزمتين للتحذيرات الأمنية

قم بتشغيل VPN الخاص بك (في IQT)

استنساخ المستودع.

git clone https://github.com/IQTLabs/AuraBorealisApp.git

انتقل إلى دليل Aura-Borealis-Flask-App.

cd aura-borealis-flask-app

تثبيت التبعيات.

pip install -r requirements.txt

تشغيل التطبيق.

python app.py

انتقل إلى عنوان URL http://0.0.0.0:7000/ عبر متصفح.

• قارن حزمة بملف تعريف قياسي لحزم الغرض المماثل لتحذيرات الأمان
• قارن الإصدارات المختلفة من نفس الحزمة لتحذيرات الأمان
• قائمة الحزم التي لها تغييرات في تحذيراتهم و/أو درجة الشدة بين تاريخين
• القدرة على مسح حزمة/سجل داخلي غير عام على PYPI
• عرض تحليل الأذونات (هل تجعل هذه الحزمة اتصالًا بالشبكة؟ هل تتطلب هذه الحزمة أذونات المكتبة على مستوى OS؟)

[email protected] (John Speed ​​Meyers ، IQT Labs ، Secure Code Reuse Lead).

المطور الرئيسي ومبدع الهالة هو Martin Carnogusky من sourcecode.ai.

• منشور مدونة IQT على إعادة استخدام الرمز الآمن
• منشورات مدونة IQT على typosquatting ومنع التحويل المطبعية عبر PYPI-SCAN
• مقالة Usenix حول "Counting Broken Links: A Quant of Software Supply Stain Security"
• IQT Open Source Dataset على حلول وسط سلسلة إمداد البرمجيات المعروفة