AuraBorealisApp

Auraborealis es una aplicación web para visualizar el código anómalo y potencialmente malicioso en los registros de paquetes de Python. Utiliza datos de auditoría de seguridad producidos al escanear el índice de paquetes de Python (PYPI) a través de Aura, un análisis estático diseñado para la auditoría de seguridad a gran escala de los paquetes de Python. La herramienta actual es una prueba de concepto e incluye algunos datos de aura en vivo, así como algunos datos de maquetas para fines de demostración.

Las características actuales incluyen:

• Escaneo de todo el registro de paquetes de Python a:

  • Lista de paquetes con el mayor número de advertencias de seguridad, ordenados por el tipo de advertencia de aura
  • Lista de paquetes ordenados por el recuento total y único de advertencias
  • Lista de paquetes por su puntaje general de gravedad

• Mostrar advertencias de seguridad para un paquete individual, ordenado por criticidad

• Visualice los números de línea y las líneas de código en archivos que generan advertencias de seguridad para un paquete específico

• Compare dos paquetes para advertencias de seguridad

Encienda su VPN (en IQT)

Clon el repositorio.

git clone https://github.com/IQTLabs/AuraBorealisApp.git

Navegue al directorio Aura-Borealis-Flask-App.

cd aura-borealis-flask-app

Instalar dependencias.

pip install -r requirements.txt

Ejecute la aplicación.

python app.py

Navegue a la URL http://0.0.0.0:7000/ a través de un navegador.

• Compare un paquete con un perfil de referencia de paquetes de propósito similar para advertencias de seguridad
• Compare diferentes versiones del mismo paquete para advertencias de seguridad
• Lista de paquetes que tienen cambios en sus advertencias y/o puntuación de gravedad entre dos fechas
• Capacidad para escanear un paquete/registro interno que no sea público en PYPI
• Muestra un análisis de permisos (¿este paquete hace una conexión de red? ¿Este paquete requiere permisos de biblioteca a nivel de sistema operativo?)

[email protected] (John Speed ​​Meyers, IQT Labs, Secure Code Reuse Project Lead).

El desarrollador principal y creador de Aura es Martin Carnogusky de Sourcecode.ai.

• Publicación de blog de IQT sobre reutilización de código seguro
• Publicaciones de blog de IQT sobre tipográfico y prevenir el tipo de tipográfico a través de Pypi-Scan
• Artículo de USENIX sobre "Contando enlaces rotos: una visión de una cuantificación de la seguridad de la cadena de suministro de software"
• Conjunto de datos de código abierto de IQT en compromisos de cadena de suministro de software conocido