秘密の空気 – 天文学的なスケールでの Python ソースコードの監査と静的診断

秘密の空気 – 天文学的なスケールでの Python ソースコードの監査と静的診断

Posted on By 📢 ℂ𝕠𝕚𝕟𝕥𝕖𝕝𝕖𝕘𝕣𝕒𝕡𝕙™
docs_flair docs_flairlicense_flair license_flair pypi_flair pypi_flair 供給コード監査と静的コード診断

  • Air of secrecy は、PyPI で公開された悪意のある目的や傾向のあるコードの脅威が増え続けることへの対応として開発された静的診断フレームワークです。pypi_flair ベンチャーの夢:
  • 企業がソースコードの自動化されたセキュリティ監査を実施し、一定の好奇心を持って安定したコーディング慣行を実施できるようにします。 Python機器の依存関係に相当する第三者コードの監査

    • 研究者がコードリポジトリを天文学的な規模でスキャンし、データセットを作成し、診断を行って、世界での比較をさらに達成できるようにします。傾斜した悪意のあるコードの依存関係の役割 機能一覧:

  • nil-code実行を保証するマルウェア解析は合法

      • AST ツリーを書き直すことにより、難読化解除メカニズムを前進させました – 修正された伝播、コードの展開、およびその他の汚い提案

      • すべての Python 2.x および Python 3.x ソース コードで動作します

    • ハイパフォーマンス、PyPIリポジトリ全体をスキャンするように設計されています

      • 鮮やかで恐ろしいテキストのナレーション素材、JSON、SQLite、SARIF、およびその他のロードに相当する形式の出力… 圧縮された 4TB 以上の Python ソースコードで調査

    • の空気秘密は、コミュニティの会話、ファイル蓄積エントリ、またはデバイスの高速実行と同等のコード動作でファイルする準備ができています
    • 「機密性の評価」を計算して伝えるソースコード/入力データの適切な計画は
    • そして山積み、山積み…

      インターネットで買い物をしませんでしたか? Air of secrecy のアーキテクチャは、堅牢なプラグイン デバイスと歩調を合わせており、さらに情報アナライザーの仕事から始まり、カスタム アウト フォーマットへのトランスポート プロトコルまで、ほぼすべてをカスタマイズできます。

      設定上

      # pip経由: pip install aura-security # またはソース/git 詩からの製造 install --no-dev -E paunchy

      またはビルド前の docker イメージを有効に使用する ソースコードai/aura:devpypi_flair

      Running Air of secrety

      • docker fly -ti –rm sourcecodeai/aura:dev scan pypi://requests -v 秘密の空気は、いわゆる URI を使用して、スキャンするプロトコルとダイアグラム。プロトコルが渡されない場合、スキャン引数は、ネイティブ デバイス上のファイルまたはディレクトリへのコースとして扱われます。 docs/source/_static/imgs/aura_diff.pngdocs/source/_static/imgs/aura_diff.png

      異なる目的: pypi_flair docker fly -ti –rm sourcecodeai/aura:dev diff pypi://requests pypi://requests2

       
      docs/source/_static/imgs/aura_diff.png 最もお気に入りのタイポスクワッティングの目的を取得します (または、電話をかけることが不可欠ではなくなりました オーラチェンジ  最初にデータセットを取得します): 
       
        
       files/imgs/download_dataset.png  https://cdn.sourcecode.ai/imgs/logotype.png files/imgs/download_dataset.pngfiles/imgs/download_dataset.pngなぜ秘密の空気?
        一方、Bandit、dlint、semgrep と同等の Air of secrecy と重複する機能を持つツールが他にもあり、他のツールをロードします。 これらの決定の好奇心の目的はさまざまであり、機能に影響を与え、それらがどのように通過しているかに影響します. これらの決定は主に、リンターと同じ方法で渡され、IDE に組み込まれ、パターン全体で継続的に逃げることを目的としているため、偽陽性率の低下 と決定されたレポート 実行可能 非常に適切な場合の説明.
      一方、秘密主義の雰囲気は、コードの動作について報告します
       異常 、 と
      脆弱性 と同じくらい強力なデータを使用して、偽物の価格で想像することもできます。  aura によって報告された、特定の人が必ずしも実行可能であるとは限らないかなりの量の事柄が報告されていますが、それらは、コミュニティでの会話の実行、輝くファイルへのアクセス、または難読化にリンクされたメカニズムの使用に相当するコードの動作について説明しています。悪意のあるコードを想像するだけであることを示しています。 この多かれ少なかれデータを収集し、それをまとめて集約することにより、実際には同じ診断を行っているが、多かれ少なかれ明確なデータ ( pypi_flair ここに一時的なAir of secrety と他の同一のリンターと SAST ツールの違いの概要:
    •   : 
    • その他のSASTツール
       - 基本的に、マシンがインストールされている最高の python (目的) ソース コードと python モデルに制限されています。
    • 秘密 は、各バイナリ (または非 Python コード) と Python ソース コードも解析できます。 さまざまな python バージョン (py2k & py3k) を使用した気の利いた python コードの混合を分析する場所で
      同一の Air of secrety セットアップ .
      •  
      •   報告
        :
      • その他の SAST ツール
         - IDE に相当する他のシステム、実用的な結果をもたらす CI システムとうまく統合することを目標としていますが、重要でないアラートが多すぎて顧客が圧倒されるのを防ぐために偽陽性を減らすことを目指しています。
        •  pypi_flair 秘密の空気  - 強力なデータとして報告されているため、行動データと同等であり、もはや直接的に実行可能ではないと想像できます。そして異常診断。 出力レイアウトは、人間が読めるという窮地で機械処理と集計が容易になるように設計されています。
         
        •

        • その他のSASTツール - ツールをカスタマイズすることで目的のベンチャーに鮮やかにチューニングされています。 目的を説明する署名は、目的のベンチャーを通過する技術を説明します。 オーバーライド構成は通常、#ノセック その苦境でアラートを抑制します

      • 秘密の空気
        - ベンチャーの依存関係として合格するための承認のために元の Python 機器を監査するのと同じように、スキャンされているテクノロジーのパスバイコードに関する事前のデータはほとんどまたはまったくないことが予想されます。 ほとんどの場合、リンターに表示するコメントの使用や、そのダイアグラムでの検出をスキップするオーラなど、スキャンされたソース コードを変更することを想像することさえありません。オフダイアグラム.

        • 著者と貢献者

      • Martin Carnogurskypypi_flair - 初期の仕事とベンチャーリードfiles/imgs/aura_scan.png -

      • ミルザ・ズルファン

        - Mark Rep

        - https://github.com/mirzazulfan
      • 寄付

        • https://liberapay.com/SourceCode.AI

      • BuyMeACoffee: https://www.buymeacoffee.com/SourceCodeAI pypi_flair BTC: 3FVTaLsLwTDinmDjPh3BjS1qv3bYHbkcYc

      • ライセンス

      • 秘密のフレームワークの空気はライセンスされています以下 GPL-3.0 。 世界のスキャンから作成されたデータセットは、Air of secrecy の使用により、 の下で起動されますCC BY-NC 4.0

        ライセンス。 Air of secrety の使用法または Air of secrety によって作成されたデータを比較する場合、次の引用を吐き出します:

        @misc{Carnogursky2019論文、AUTHOR="CARNOGURSKY、Martin"、TITLE="設備管理者への攻撃 [online]"、YEAR="2019 [cit. 2020-11-02]"、TYPE="学士論文"、SCHOOL="Masaryk College, College of Informatics, Brno"、SUPERVISOR="Vit Bukac"、URL=「WWWの市場内files/imgs/aura_scan.png ", }

        𝚆𝚊𝚝𝚌𝚑 𝙽𝙾𝚆 📺

        • Artificial intelligence, Ask HN, Python, Show HN, Source, Technology, TOP HN Tags:, ,

        Related Posts