AuraBorealisApp

Auraborealis est une application Web pour visualiser le code anormal et potentiellement malveillant dans les registres de packages Python. Il utilise des données d'audit de sécurité produites en scannant l'index de package Python (PYPI) via Aura, une analyse statique conçue pour l'audit de sécurité à grande échelle des packages Python. L'outil actuel est une preuve de concept et comprend certaines données AURA en direct, ainsi que des données de maquette à des fins de démonstration.

Les fonctionnalités actuelles comprennent:

• Analyser l'ensemble du registre des packages Python à:

  • Répertoriez les packages avec le plus grand nombre d'avertissements de sécurité, triés par Aura Warning Type
  • Liste des packages triés par le nombre total et unique d'avertissements
  • Énumérez les forfaits par leur score de gravité globale

• Affichage des avertissements de sécurité pour un package individuel, trié par criticité

• Visualisez les numéros de ligne et les lignes de code dans des fichiers générant des avertissements de sécurité pour un package spécifique

• Comparez deux packages pour les avertissements de sécurité

Allumez votre VPN (à IQT)

Clone le référentiel.

git clone https://github.com/IQTLabs/AuraBorealisApp.git

Accédez au répertoire Aura-Borealis-Flask-App.

cd aura-borealis-flask-app

Installez les dépendances.

pip install -r requirements.txt

Exécutez l'application.

python app.py

Accédez à l'URL http://0.0.0.0:7000/ via un navigateur.

• Comparez un package à un profil de référence de packages d'objectifs similaires pour les avertissements de sécurité
• Comparez différentes versions du même package pour les avertissements de sécurité
• Énumérez les packages qui ont des changements dans leurs avertissements et / ou le score de gravité entre deux dates
• Capacité à scanner un package / registre interne qui n'est pas public sur PYPI
• Affichez une analyse des autorisations (ce package fait-il une connexion réseau? Ce package nécessite-t-il des autorisations de bibliothèque de niveau OS?)

[email protected] (John Speed ​​Meyers, IQT Labs, Secure Code Reutilisation du projet).

Le développeur principal et créateur d'Aura est Martin Carnogusky de SourceCode.ai.

• Article de blog IQT sur la réutilisation du code sécurisé
• Articles de blog IQT sur la typosquat et la prévention de la typosquat via PYPI-SCAN
• Article de l'USENIX sur "Compter les liens cassés: la vue d'un quant sur la sécurité de la chaîne d'approvisionnement des logiciels"
• Ensemble de données open source IQT sur les compromis de chaîne d'approvisionnement logiciels connus