پروژه اورا: ممیزی امنیت بسته بندی
روند توسعه فعلی استفاده از تعداد زیادی از بسته ها در مرحله توسعه است ، حتی اگر آنها فقط عملکردی بی اهمیت را ارائه دهند و از چند خط کد تشکیل شده باشد.
هنگامی که ما اینها را با یک لیبرال بسیار ترکیب می کنیم. سیاست انتشار بسته های جدید ، ما شاهد افزایش تعداد حملات مخرب به توسعه دهندگان هستیم.
چندین عامل متفاوت از بازیگران تهدید وجود داشت:
- Typo حمله ، یعنی. خطایی در نام
- П بسته های تقلبی با نامهای جذاب ، سعی در توسعه دهندگان برای فریب دادن آنها برای نصب آنها
- П رهگیری بسته های موجود با استفاده از نشت اعتبار از GitHub یا از منابع دیگر
برخی از تکنیک هایی که یک توسعه دهنده می تواند با آن سازش کند.
این امر با تأیید این واقعیت تأیید می شود که هیچ فرآیند نظارت برای آنچه در مخازن مانند PyPI یا NPM بارگذاری می شود ، وجود ندارد.
این از طریق یک مکانیزم ترکیبی بسیار بهینه حاصل می شود.
تجزیه و تحلیل در یک محیط کاملاً ایمن و با استفاده از تجزیه و تحلیل کد استاتیک و بدون هیچ گونه عملیاتی انجام می شود.
هسته Aura درخت AST را که از منبع منبع آنالیز شده است ، تجزیه و تحلیل می کند و تجزیه و تحلیل رفتاری و جریان اجرای کد را انجام می دهد.
موتور همچنین از بازنویسی درخت AST با استفاده از مجموعه ای از قوانین ، مانند توزیع مداوم ، فروپاشی ، یا ارزیابی استاتیک پشتیبانی می کند ؛ مجموعه ای از روش هایی است که کامپایلرها برای بهینه سازی کد از آنها استفاده می کنند.
به همین دلیل ، این رویکرد این تجزیه و تحلیل "ترکیبی" است زیرا تجزیه و تحلیل استاتیک را با یک ارزیابی جزئی کاملاً ایمن تقویت می کند که به ما امکان می دهد مکانیسم های ساده تر انسداد را شکست دهیم.
در زیر می توانید نمایشی از روشهای مختلف "مبهوت کردن" از کد منبع شناخته شده توسط مکانیسم تبدیل Aura AST را مشاهده کنید: [19659017] قسمت اصلی هورا کد منبع ناهنجاری ها یا آسیب پذیری های احتمالی را تجزیه و تحلیل می کند.
اورا چندین آنالایزر داخلی دارد که به دنبال ناهنجاری ها هستند ، از جمله استفاده از ارزیابی در متن دهان. new؛ تجزیه و تحلیل های دیگر ساختار سیستم فایل (نه کد منبع) را تجزیه و تحلیل می کنند ، به عنوان مثال ، به دنبال نشت اعتبار ، نشانه های API کدگذاری شده سخت و غیره باشید.
این آنالایزرها آنچه را که ما می نامیم ایجاد می کند که ناهنجاری های شناسایی شده را شناسایی می کند. ، و همچنین ممکن است تخمینی باشد که برای محاسبه هاله امنیتی دادههای اسکن شده استفاده می شود.
توصیه می شود که از یک قضاوت معقول در مورد ناهنجاریهای ارائه شده بر اساس عملکرد داده های ورودی استفاده شود.
برای مثال ، برای کتابخانه ها و درخواست ها ، بسیار طبیعی است که شامل تماس های مربوط به شبکه شود ، در حالی که انتظار نمی رود که کتابخانه پردازش تصویر داده ها را از طریق شبکه ارسال کند.
T همچنین از خروجی JSON نیز پشتیبانی می کند که مناسب برای اسکن مخزن در مقیاس بزرگ یا ادغام در سایر محصولات.