gtxyzz

如何使用PackageDNA检测不同编程语言的软件包安全性

gtxyzz 安全防护 2022-12-23 256浏览 0

如何使用PackageDNA检测不同编程语言的软件包安全性

关于PackageDNA

PackageDNA是一款功能强大的代码安全检测工具。在很多场景中,我们往往会在自己的代码或项目中使用其他的软件包。而该工具可以帮助广大开发人员、研究人员和组织分析采用不同编程语言开发的软件包安全,并提供相关软件包的安全信息,使我们能够提前知道此软件库是否符合安全开发流程。

PackageDNA可以帮助我们检测目标软件包中可能的后门、嵌入的恶意代码、输入错误分析、版本历史记录和CVE漏洞等信息。

工具安装

广大研究人员可以使用下列命令将该项目源码克隆至本地:

gitclonehttps://github.com/ElevenPaths/packagedna

PackageDNA使用了python-magic,即针对libmagic C代码库的一个简单封装,因此我们同样需要安装好这个库。

Debian/Ubuntu:

$sudoapt-getinstalllibmagic1

macOS:

brewinstalllibmagic

portinstallfile

Windows:

pipinstallhttps://pypi.python.org/pypi/python-magic-bin/0.4.14

接下来,运行下列安装脚本:

python3setup.pyinstall--user

外部模块

PackageDNA使用了外部模块来实现其分析功能,因此同样需要预先安装下列外部模块。

  • Microsoft AppInpsector:https://github.com/microsoft/ApplicationInspector
  • Virus Total API:https://www.virustotal.com/
  • LibrariesIO API:https://libraries.io/
  • Rubocop:https://github.com/rubocop/rubocop

安装之后,你就可以直接配置外部模块了:

[1]VirusTotalAPIKey:YourAPIKEY

[2]AppInspectorabsolutepath:/Local/Path/MSAppInpsectorInstallation

[3]Libraries.ioAPIKey:YourAPIKEY

[4]GithubToken:YourToken

[B]Back

[X]Exit

注意:外部模块并不是必须的,不安装外部模块PackageDNA也能继续执行,但我们建议广大用户安装这些模块,以便工具执行完整的分析。

运行PackageDNA

打开命令行终端,切换到项目根目录,并运行下列命令:

./packagedna.py

____________________

|__\|||__\|\|||___|

||__)|________||_____________||\\||\\||||___||

|___//_`|/__)||///_`|/_|/_\||||||\\|||___|

|||(_|||(__||\\|(_|||(_|||__/||__//||\|||||

|_|\__,_|\____)|_|\_\\__,_|\__|\___||_____/|_|\__||_||_|

__||

(____|



ModularPackagesAnalyzerFramework

ByElevenPathshttps://www.elevenpaths.com/

Usage:python3./packagedna.py



[*]--------------------------------------------------------------------------------------------------------------[*]

[!]Selectfromthemenu:

[*]--------------------------------------------------------------------------------------------------------------[*]

[1]分析包(最新版本)

[2]分析包(所有版本)

[3]分析本地包

[4]信息收集

[5]上传文件并分析所有包

[6]列出之前分析过的包

[7]工具配置

[X]退出

[*]--------------------------------------------------------------------------------------------------------------[*]

[!]Enteryourselection:

项目地址

PackageDNA:【GitHub

转载请注明:IT运维空间 » 安全防护 » 如何使用PackageDNA检测不同编程语言的软件包安全性

你可能喜欢:
继续浏览有关 安全 的文章
发表评论
最新文章
热门文章
热评文章
Powered By Z-BlogPHP Theme By B5编程