AuraBorealisApp

Auraborealisは、Pythonパッケージレジストリで異常で潜在的に悪意のあるコードを視覚化するためのWebアプリケーションです。 Pythonパッケージパッケージの大規模なセキュリティ監査のために設計された静的分析であるAuraを介してPythonパッケージインデックス（PYPI）をスキャンして作成したセキュリティ監査データを使用します。現在のツールは概念実証であり、いくつかのライブオーラデータと、デモの目的のためのいくつかのモックアップデータが含まれています。

現在の機能は次のとおりです。

• Pythonパッケージレジストリ全体をスキャンします。

  • オーラ警告タイプでソートされたセキュリティ警告の最も多くのパッケージをリストする
  • 警告の合計および一意のカウントでソートされたリストパッケージ
  • 全体的な重大度スコアでパッケージをリストします

• 批判的でソートされた個々のパッケージのセキュリティ警告を表示する

• 特定のパッケージのセキュリティ警告を生成するファイル内のコードの行番号と線を視覚化する

• セキュリティ警告については、2つのパッケージを比較します

VPNをオンにします（IQTで）

リポジトリをクローンします。

git clone https://github.com/IQTLabs/AuraBorealisApp.git

Aura-Borealis-Flask-Appディレクトリに移動します。

cd aura-borealis-flask-app

依存関係をインストールします。

pip install -r requirements.txt

アプリを実行します。

python app.py

ブラウザを介してURL http://0.0.0.0:7000/に移動します。

• パッケージを、セキュリティ警告のために、同様の目的のパッケージのベンチマークプロファイルと比較する
• セキュリティ警告のために同じパッケージの異なるバージョンを比較する
• 2つの日付の間に警告および/または重大度スコアに変更があるパッケージをリストします
• PYPIで公開されていない内部パッケージ/レジストリをスキャンする機能
• アクセス許可の分析を表示します（このパッケージはネットワーク接続を作成しますか？このパッケージにはOSレベルのライブラリアクセス許可が必要ですか？）

[email protected]（John Speed Meyers、IQT Labs、Secure Code Reuse Project Lead）。

オーラのリード開発者であり作成者は、Sourcode.aiのMartin Carnoguskyです。

• 安全なコードの再利用に関するIQTブログ投稿
• Pypi-Scanを介したタイプスキャットとタイプスカッティングの防止に関するIQTブログの投稿
• 「壊れたリンクのカウント：ソフトウェアサプライチェーンのセキュリティに関するQuant's View」に関するUsenixの記事
• 既知のソフトウェアサプライチェーンの妥協に関するIQTオープンソースデータセット