AuraBorealisApp

Auraborealis是一个Web应用程序，用于在Python软件包注册表中可视化异常且潜在的恶意代码。它使用通过AURA扫描Python软件包索引（PYPI）产生的安全审计数据，Aura是一种静态分析，旨在大规模安全审核Python软件包。当前的工具是概念验证，其中包括一些实时AURA数据以及用于演示目的的一些模型数据。

当前功能包括：

• 扫描整个Python软件包注册表：

  • 列表包含最多安全警告的软件包，由AURA警告类型排序
  • 列表软件包按照警告的总和计数排序
  • 按其整体严重程度得分列出包裹

• 显示单个软件包的安全警告，以关键性排序

• 可视化文件中的行号和代码行生成特定软件包的安全警告

• 比较两个包裹的安全警告

打开您的VPN（在IQT）

克隆存储库。

git clone https://github.com/IQTLabs/AuraBorealisApp.git

导航到Aura borealis-flask-app目录。

cd aura-borealis-flask-app

安装依赖项。

pip install -r requirements.txt

运行应用程序。

python app.py

通过浏览器导航到URL http://0.0.0.0:7000/ 。

• 将包裹与具有类似目的的包装的基准配置进行比较，以进行安全警告
• 比较其他版本的同一软件包以进行安全警告
• 列出的包裹在两个日期之间有更改的警告和/或严重性评分
• 能够扫描不公开PYPI的内部软件包/注册表
• 显示权限分析（此软件包是否建立网络连接？此软件包需要OS级库权限吗？）

[email protected]（John Speed Meyers，IQT Labs，安全代码重用项目负责人）。

Aura的主要开发商和创建者是Sourcecode.ai的Martin Carnogusky。

• IQT博客文章有关安全代码重复使用
• IQT博客文章有关打字和防止通过PYPI-SCAN进行打字
• USENIX文章有关“计数破裂链接：量子的软件供应链安全性”的看法
• IQT关于已知软件供应链妥协的开源数据集