Beranda>Kode sumber JSP>Kategori lainnya
Unduh

Auraborealis: Tahukah Anda apa yang ada di paket Python Anda?

Antarmuka pengguna beranda auraborealis

Tentang

Auraborealis adalah aplikasi web untuk memvisualisasikan kode anomali dan berpotensi berbahaya dalam pendaftar paket Python. Ini menggunakan data audit keamanan yang diproduksi dengan memindai indeks paket python (PYPI) melalui Aura, analisis statis yang dirancang untuk audit keamanan skala besar dari paket Python. Alat saat ini adalah bukti konsep, dan mencakup beberapa data aura hidup, serta beberapa data mockup untuk tujuan demo.

Fitur saat ini meliputi:

  • Memindai seluruh Paket Python Registry ke:

    • Daftar paket dengan jumlah peringatan keamanan tertinggi, diurutkan berdasarkan jenis peringatan aura
    • Daftar paket yang diurutkan berdasarkan jumlah peringatan total dan unik
    • Daftar paket dengan skor keparahan keseluruhan mereka

  • Menampilkan peringatan keamanan untuk paket individu, diurutkan berdasarkan kekritisan

  • Visualisasikan nomor baris dan baris kode dalam file yang menghasilkan peringatan keamanan untuk paket tertentu

  • Bandingkan dua paket untuk peringatan keamanan

Instruksi

Nyalakan VPN Anda (di IQT)

Klon Repositori.

git clone https://github.com/IQTLabs/AuraBorealisApp.git

Arahkan ke direktori Aura-Borealis-Flask-App.

cd aura-borealis-flask-app

Instal dependensi.

pip install -r requirements.txt

Jalankan aplikasi.

python app.py

Arahkan ke URL http://0.0.0.0:7000/ melalui browser.

Fitur peta jalan

  • Bandingkan paket dengan profil benchmark paket dengan tujuan yang sama untuk peringatan keamanan
  • Bandingkan versi berbeda dari paket yang sama untuk peringatan keamanan
  • Daftar paket yang memiliki perubahan dalam peringatan dan/atau skor keparahan mereka antara dua tanggal
  • Kemampuan untuk memindai paket/registri internal yang tidak publik di PYPI
  • Tampilkan analisis izin (apakah paket ini membuat koneksi jaringan? Apakah paket ini memerlukan izin pustaka level OS?)

Informasi kontak

[email protected] (John Speed ​​Meyers, IQT Labs, Kode Aman Pimpinan Proyek Reuse).

Pengembang utama dan pencipta Aura adalah Martin Carnogusky dari Sourcecode.ai.

Pekerjaan terkait

  • Posting blog IQT tentang penggunaan kembali kode aman
  • Posting blog IQT tentang mengetik dan mencegah pengetikan kesalahan melalui pypi-scan
  • Artikel USENIX tentang "Menghitung Tautan Broken: Pandangan Quant dari Keamanan Rantai Pasokan Perangkat Lunak"
  • IQT Open Source Dataset pada kompromi rantai pasokan perangkat lunak yang diketahui
Memperluas
Informasi Tambahan
Aplikasi Terkait
Direkomendasikan untuk Anda
Informasi Terkait Semua