Главная страница>Исходный код JSP>Другие категории
Скачать

Auraborealis: Вы знаете, что в ваших пакетах Python?

Auraborealis home страница пользовательская интерфейс

О

AuraboreAlis - это веб -приложение для визуализации аномального и потенциально злонамеренного кода в регистрах пакетов Python. Он использует данные аудита безопасности, созданные путем сканирования индекса пакета Python (PYPI) через AURA, статический анализ, предназначенный для крупномасштабного аудита безопасности пакетов Python. Текущий инструмент является доказательством концепции и включает в себя некоторые живые данные AURA, а также некоторые данные макета для демонстрационных целей.

Текущие функции включают в себя:

  • Сканируя весь реестр пакетов Python:

    • Список пакетов с наибольшим количеством предупреждений о безопасности, отсортированных по типу предупреждения Aura
    • Списки пакеты, отсортированные по общему и уникальному количеству предупреждений
    • Список пакетов по их общему баллу серьезности

  • Отображение предупреждений о безопасности для отдельного пакета, отсортированного по критичности

  • Визуализируйте номера строк и строки кода в файлах, генерирующих предупреждения о безопасности для конкретного пакета

  • Сравните два пакета для предупреждений о безопасности

Инструкции

Включи свой VPN (на IQT)

Клонировать репозиторий.

git clone https://github.com/IQTLabs/AuraBorealisApp.git

Перейдите в каталог AURA-Borealis-Flask-App.

cd aura-borealis-flask-app

Установить зависимости.

pip install -r requirements.txt

Запустить приложение.

python app.py

Перейдите к URL http://0.0.0.0:7000/ через браузер.

Функция дорожной карты

  • Сравните пакет с эталонным профилем пакетов с аналогичной целью для предупреждений о безопасности
  • Сравните разные версии одного и того же пакета для предупреждений о безопасности
  • Список пакетов, которые имеют изменения в их предупреждениях и/или оценке серьезности между двумя датами
  • Способность сканировать внутренний пакет/реестр, который не является публичной на PYPI
  • Отобразите анализ разрешений (требует ли этот пакет подключение к сети? Требует ли этот пакет разрешения библиотеки на уровне ОС?)

Контактная информация

[email protected] (Джон Спид Мейерс, IQT Labs, защитный код повторного использования).

Ведущим разработчиком и создателем Aura является Мартин Карногуски из SourceCode.ai.

Связанная работа

  • IQT в блоге о безопасном повторном использовании кода
  • Посты в блоге IQT о типосокватинге и предотвращении опечатки через PYPI-Scan
  • Статья USENIX «Подсчет разбитых ссылок: представление о безопасности цепочки поставок программного обеспечения»
  • Набор данных IQT с открытым исходным кодом на известных компромиссах цепочки поставок программного обеспечения
Расширять
Дополнительная информация
Связанные приложения
Рекомендуем вам
Связанные новости Все