AuraBorealisApp

Auraborealis는 Python 패키지 레지스트리에서 변칙적이고 잠재적으로 악의적 인 코드를 시각화하기위한 웹 응용 프로그램입니다. Python 패키지의 대규모 보안 감사를 위해 설계된 정적 분석 인 Aura를 통해 Python 패키지 인덱스 (PYPI)를 스캔하여 생성 된 보안 감사 데이터를 사용합니다. 현재 도구는 개념 증명이며 일부 라이브 오라 데이터와 데모 목적으로 일부 모형 데이터를 포함합니다.

현재 기능은 다음과 같습니다.

• 전체 Python 패키지 레지스트리를 다음과 같이 스캔합니다.

  • Aura 경고 유형에 의해 정렬 된 가장 많은 보안 경고가있는 패키지 목록
  • 총 및 고유 한 경고 수에 의해 정렬 된 목록 패키지
  • 전체 심각도 점수별로 패키지를 나열하십시오

• 중요도로 정렬 된 개별 패키지에 대한 보안 경고 표시

• 특정 패키지에 대한 보안 경고를 생성하는 파일에서 줄 번호와 코드 줄을 시각화합니다.

• 보안 경고를 위해 두 개의 패키지를 비교하십시오

VPN 켜기 (IQT)

저장소를 복제하십시오.

git clone https://github.com/IQTLabs/AuraBorealisApp.git

Aura-Borealis-Flask-App 디렉토리로 이동하십시오.

cd aura-borealis-flask-app

종속성을 설치하십시오.

pip install -r requirements.txt

앱을 실행하십시오.

python app.py

브라우저를 통해 URL http://0.0.0.0:7000/ 로 이동하십시오.

• 보안 경고를위한 유사한 목적의 패키지의 벤치 마크 프로필 과 패키지를 비교
• 보안 경고를 위해 동일한 패키지의 다른 버전을 비교하십시오.
• 두 날짜 사이에 경고 및/또는 심각도 점수가 변경된 패키지 목록
• PYPI에서 공개되지 않은 내부 패키지/레지스트리 스캔 기능
• 권한 분석을 표시합니다 (이 패키지에는 네트워크 연결이 있습니까?이 패키지는 OS 레벨 라이브러리 권한이 필요합니까?)

[email protected] (John Speed ​​Meyers, IQT Labs, 보안 코드 재사용 프로젝트 리드).

Aura의 수석 개발자이자 제작자는 Sourcecode.ai의 Martin Carnogusky입니다.

• 보안 코드 재사용에 대한 IQT 블로그 게시물
• pypi-scan을 통한 오타 quatting 및 오타 퀘이트 방지에 대한 IQT 블로그 게시물
• "깨진 링크 계산 : 소프트웨어 공급망 보안에 대한 Quant의 관점"에 관한 Usenix 기사
• 알려진 소프트웨어 공급망에 대한 IQT 오픈 소스 데이터 세트