packj github action
1.0.0
Добавьте PackJ в свой рабочий процесс, чтобы проверить ваши запросы на притяжение по злонамеренным/рискованным зависимостям NPM/PYPI/Ruby.
Основанный на нашем инструменте с открытым исходным кодом Packj.
PackJ прокомментирует PR, если будут найдены рискованные зависимости. См. Пример аудита запроса на вытягивание.
Просто добавьте следующее в свой рабочий процесс:
- name : Packj Security Audit
uses : ossillate-inc/[email protected]
with :
# TODO: replace with your dependency files in the repo
DEPENDENCY_FILES : pypi:requirements.txt,npm:package.json,rubygems:Gemfile
REPO_TOKEN : ${{ secrets.GITHUB_TOKEN } # This is a basic workflow to help you get started with Actions
name : Packj security audit
# Controls when the workflow will run
on :
pull_request :
branches :
- main
# A workflow run is made up of one or more jobs that can run sequentially or in parallel
jobs :
# This workflow contains a single job called "packj-audit"
packj-security-audit :
# The type of runner that the job will run on
runs-on : ubuntu-latest
# Steps represent a sequence of tasks that will be executed as part of the job
steps :
# Audit
- name : Audit dependencies
uses : ossillate-inc/[email protected]
with :
# TODO: replace with your dependency files in the repo
DEPENDENCY_FILES : pypi:requirements.txt,npm:package.json,rubygems:Gemfile
REPO_TOKEN : ${{ secrets.GITHUB_TOKEN }}secrets.GITHUB_TOKEN используется по умолчанию (Github Action Runner)false .PackJ может проверять пакеты PYPI, NPM и Rubygems . Он работает:
connect , exec ),open() , fork() ).Пакеты с истекшим сроком по электронной почте, большим разрывом времени выпуска, конфиденциальными API и т. Д. Помечаются как рискованные по соображениям безопасности.
Дизайн PackJ руководствуется нашим изучением 651 образцов вредоносных программ задокументированных атак программного обеспечения с открытым исходным кодом. Он сканирует на 40+ рискованных атрибутов кода и метаданных, которые делают пакет уязвимым для атак цепочки поставок.
| Риск | Причина |
|---|---|
| Пакеты, предоставляющие популярные пакеты | Плохие актеры выполняют опечатки атаки, опубликованные злонамеренными пакетами, которые выдают себя за популярные пакеты (например, Lodash vs Loadash) |
| Старые или оставленные пакеты | Старые или неосвященные пакеты не получают исправления безопасности |
| Пакет с использованием чувствительных API, таких как Exec и Eval | Вредопроводник использует API из операционной системы или времени выполнения языка для выполнения конфиденциальных операций (например, чтение клавиш SSH) |
| Пакеты с недействительными или без адресов электронной почты участников | Неправильные или отсутствующие адреса электронной почты предполагают отсутствие 2FA в учетной записи, что облегчает плохим актерам ужестоить владение пакетом |
| Пакеты с недействительным или без публичного источника репо | Отсутствие общественного репо означает не простой способ проверить или просмотреть исходный код публично |
| Пакеты, содержащие известные уязвимости | Известные уязвимости безопасности (CVES) в коде пакета могут использоваться плохими актерами. |
PackJ может быть настроен только для отправки оповещений, которые применяются к вашей модели угрозы. Просто добавьте файл .packj.yaml в ваш репо на основе нашего шаблона (ниже) и включите/отключить оповещения, которые важны для вас.
# # Audit policies # audit: # # Risk alerts (enable or disable according to your threat model) # alerts: # # category: malicious packages (publicly known and unknown) # malicious: contains known malware: - reason: package is known to contain a dangerous malware - enabled: true typo-squatting or repo-jacking package: - reason: package impersonates another popular package to propagate malware - enabled: true # # alert category: packages vulnerable to code exploits # vulnerable: contains known vulnerabilities: - reason: known vulnerabilities (CVEs) in package code could be exploited - enabled: true # # packages with undesirable or "risky" attributes # undesirable: package is old or abandoned: - reason: old or abandoned packages receive no security updates and are risky - enabled: true invalid or no author email: - reason: a package with lack of or invalid author email suggests 2FA not enabled - enabled: true invalid or no homepage: - reason: a package with no or invalid homepage may not be preferable - enabled: false no source repo: - reason: lack of public source repo may suggest malicious intention - enabled: true fewer downloads: - reason: a package with few downloads may not be preferable - enabled: true no or insufficient readme: - reason: a package with lack of documentation may not be preferable - enabled: false fewer versions or releases: - reason: few versions suggest unstable or inactive project - enabled: true too many dependencies: - reason: too many dependencies increase attack surface - enabled: false version release after a long gap: - reason: a release after a long time may indicate account hijacking - enabled: false contains custom installation hooks: - reason: custom installation hooks may download or execute malicious code - enabled: false # WIP # # type: repo stats # few source repo stars: - reason: a package with few repo stars may not be preferable - enabled: false few source repo forks: - reason: a package with few repo forks may not be preferable - enabled: false forked source repo: - reason: a forked copy of a popular package may contain malicious code - enabled: true # # type: APIs and permissions # generates new code: - reason: package generates new code at runtime, which could be malicious - enabled: false forks or exits OS processes: - reason: package spawns new operating system processes, which could be malicious - enabled: false accesses obfuscated (hidden) code: - enabled: true accesses environment variables: - enabled: false changes system/environment variables: - enabled: false accesses files and dirs: - enabled: false communicates with external network: - enabled: false reads user input: - enabled: false sandbox: rules: # # File system (allow or block accesses to file/dirs) # # ~/ represents home dir # . represents cwd dir # # NOTE: only ONE 'allow' and 'block' lines are allowed # fs: # TODO: customize as per your threat model # block access to home dir and all other locations (except the ones below) block: ~/, / allow: ., ~/.cache, ~/.npm, ~/.local, ~/.ruby, /tmp, /proc, /etc, /var, /bin, /usr/include, /usr/local, /usr/bin, /usr/lib, /usr/share, /lib # # Network (allow or block domains/ports) # # NOTE: only ONE 'allow' and 'block' lines are allowed # network: # TODO: customize as per your threat model # block all external network communication (except the ones below) block: 0.0.0.0 # For installing PyPI, Rubygems, and NPM packages allow: pythonhosted.org:443, pypi.org:443, rubygems.org:443, npmjs.org:0, npmjs.com:0
