AuraBorealisApp

Auraborealis ist eine Webanwendung zur Visualisierung von anomalen und potenziell böswilligen Code in Python -Paketregistern. Es werden Sicherheitsprüfungsdaten verwendet, die durch Scannen des Python Package Index (PYPI) über Aura erstellt wurden, einer statischen Analyse für die große Sicherheitsprüfung von Python -Paketen. Das aktuelle Tool ist ein Proof-of-Concept und enthält einige Live-Aura-Daten sowie einige Mockup-Daten für Demo-Zwecke.

Aktuelle Funktionen umfassen:

• Scannen der gesamten Python -Paketregistrierung nach:

  • Listen Sie Pakete mit der höchsten Anzahl von Sicherheitswarnungen auf, die nach Aura -Warntyp sortiert sind
  • Listenpakete sortiert nach der Gesamt- und einzigartigen Anzahl von Warnungen
  • Listen Sie Pakete nach ihrem Gesamtschwerpunkt auf

• Anzeigen von Sicherheitswarnungen für ein individuelles Paket, sortiert nach Kritikalität

• Visualisieren Sie die Zeilennummern und Codezeilen in Dateien, die Sicherheitswarnungen für ein bestimmtes Paket generieren

• Vergleichen Sie zwei Pakete für Sicherheitswarnungen

Schalten Sie Ihr VPN ein (bei IQT)

Klonen Sie das Repository.

git clone https://github.com/IQTLabs/AuraBorealisApp.git

Navigieren Sie zum Aura-Borealis-Flask-App-Verzeichnis.

cd aura-borealis-flask-app

Abhängigkeiten installieren.

pip install -r requirements.txt

Führen Sie die App aus.

python app.py

Navigieren Sie über einen Browser zur URL http://0.0.0.0:7000/ .

• Vergleichen Sie ein Paket mit einem Benchmark -Profil von Paketen mit ähnlichem Zweck für Sicherheitswarnungen
• Vergleichen Sie verschiedene Versionen desselben Pakets für Sicherheitswarnungen
• Listen Sie Pakete auf, die Änderungen in ihren Warnungen und/oder der Schweregrad zwischen zwei Daten haben
• Möglichkeit, ein internes Paket/eine interne Registrierung zu scannen, das auf PYPI nicht öffentlich ist
• Zeigen Sie eine Analyse der Berechtigungen an (erfordert dieses Paket eine Netzwerkverbindung? Benötigt dieses Paket Bibliotheksberechtigungen auf OS-Ebene?)

[email protected] (John Speed ​​Meyers, IQT Labs, Secure Code Wiederverwendungsprojektleiter).

Der Hauptentwickler und Schöpfer von Aura ist Martin Carnogusky von Sourcecode.ai.

• IQT -Blog -Beitrag zur sicheren Code -Wiederverwendung
• IQT-Blog-Beiträge zum Tippfehler und Verhindern von Tippflichtigen über Pypi-Scan
• Usenix -Artikel über "Zählen von zerstörten Links: Ein Quant -Sicht auf die Sicherheit der Software -Lieferkette" "
• IQT Open Source -Datensatz über bekannte Software -Lieferkette Kompromisse