AuraBorealisApp

Auraborealis是一個Web應用程序，用於在Python軟件包註冊表中可視化異常且潛在的惡意代碼。它使用通過AURA掃描Python軟件包索引（PYPI）產生的安全審計數據，Aura是一種靜態分析，旨在大規模安全審核Python軟件包。當前的工具是概念驗證，其中包括一些實時AURA數據以及用於演示目的的一些模型數據。

當前功能包括：

• 掃描整個Python軟件包註冊表：

  • 列表包含最多安全警告的軟件包，由AURA警告類型排序
  • 列表軟件包按照警告的總和計數排序
  • 按其整體嚴重程度得分列出包裹

• 顯示單個軟件包的安全警告，以關鍵性排序

• 可視化文件中的行號和代碼行生成特定軟件包的安全警告

• 比較兩個包裹的安全警告

打開您的VPN（在IQT）

克隆存儲庫。

git clone https://github.com/IQTLabs/AuraBorealisApp.git

導航到Aura borealis-flask-app目錄。

cd aura-borealis-flask-app

安裝依賴項。

pip install -r requirements.txt

運行應用程序。

python app.py

通過瀏覽器導航到URL http://0.0.0.0:7000/ 。

• 將包裹與具有類似目的的包裝的基準配置進行比較，以進行安全警告
• 比較其他版本的同一軟件包以進行安全警告
• 列出的包裹在兩個日期之間有更改的警告和/或嚴重性評分
• 能夠掃描不公開PYPI的內部軟件包/註冊表
• 顯示權限分析（此軟件包是否建立網絡連接？此軟件包需要OS級庫權限嗎？）

[email protected]（John Speed Meyers，IQT Labs，安全代碼重用項目負責人）。

Aura的主要開發商和創建者是Sourcecode.ai的Martin Carnogusky。

• IQT博客文章有關安全代碼重複使用
• IQT博客文章有關打字和防止通過PYPI-SCAN進行打字
• USENIX文章有關“計數破裂鏈接：量子的軟件供應鏈安全性”的看法
• IQT關於已知軟件供應鏈妥協的開源數據集