如何使用PackageDNA检测不同编程语言的软件包安全性

时间:2022-02-09 18:53:05

如何使用PackageDNA检测不同编程语言的软件包安全性

关于PackageDNA

PackageDNA是一款功能强大的代码安全检测工具。在很多场景中,我们往往会在自己的代码或项目中使用其他的软件包。而该工具可以帮助广大开发人员、研究人员和组织分析采用不同编程语言开发的软件包安全,并提供相关软件包的安全信息,使我们能够提前知道此软件库是否符合安全开发流程。

PackageDNA可以帮助我们检测目标软件包中可能的后门、嵌入的恶意代码、输入错误分析、版本历史记录和CVE漏洞等信息。

工具安装

广大研究人员可以使用下列命令将该项目源码克隆至本地:

  1. gitclonehttps://github.com/ElevenPaths/packagedna

PackageDNA使用了python-magic,即针对libmagic C代码库的一个简单封装,因此我们同样需要安装好这个库。

Debian/Ubuntu:

  1. $sudoapt-getinstalllibmagic1

macOS:

  1. brewinstalllibmagic
  2.  
  3. portinstallfile

Windows:

  1. pipinstallhttps://pypi.python.org/pypi/python-magic-bin/0.4.14

接下来,运行下列安装脚本:

  1. python3setup.pyinstall--user

外部模块

PackageDNA使用了外部模块来实现其分析功能,因此同样需要预先安装下列外部模块。

  • Microsoft AppInpsector:https://github.com/microsoft/ApplicationInspector
  • Virus Total API:https://www.virustotal.com/
  • LibrariesIO API:https://libraries.io/
  • Rubocop:https://github.com/rubocop/rubocop

安装之后,你就可以直接配置外部模块了:

  1. [1]VirusTotalAPIKey:YourAPIKEY
  2.  
  3. [2]AppInspectorabsolutepath:/Local/Path/MSAppInpsectorInstallation
  4.  
  5. [3]Libraries.ioAPIKey:YourAPIKEY
  6.  
  7. [4]GithubToken:YourToken
  8.  
  9. [B]Back
  10.  
  11. [X]Exit

注意:外部模块并不是必须的,不安装外部模块PackageDNA也能继续执行,但我们建议广大用户安装这些模块,以便工具执行完整的分析。

运行PackageDNA

打开命令行终端,切换到项目根目录,并运行下列命令:

  1. ./packagedna.py
  2.  
  3. ____________________
  4.  
  5. |__\|||__\|\|||___|
  6.  
  7. ||__)|________||_____________||\\||\\||||___||
  8.  
  9. |___//_`|/__)||///_`|/_|/_\||||||\\|||___|
  10.  
  11. |||(_|||(__||\\|(_|||(_|||__/||__//||\|||||
  12.  
  13. |_|\__,_|\____)|_|\_\\__,_|\__|\___||_____/|_|\__||_||_|
  14.  
  15. __||
  16.  
  17. (____|
  18.  
  19.  
  20.  
  21. ModularPackagesAnalyzerFramework
  22.  
  23. ByElevenPathshttps://www.elevenpaths.com/
  24.  
  25. Usage:python3./packagedna.py
  26.  
  27.  
  28.  
  29. [*]--------------------------------------------------------------------------------------------------------------[*]
  30.  
  31. [!]Selectfromthemenu:
  32.  
  33. [*]--------------------------------------------------------------------------------------------------------------[*]
  34.  
  35. [1]分析包(最新版本)
  36.  
  37. [2]分析包(所有版本)
  38.  
  39. [3]分析本地包
  40.  
  41. [4]信息收集
  42.  
  43. [5]上传文件并分析所有包
  44.  
  45. [6]列出之前分析过的包
  46.  
  47. [7]工具配置
  48.  
  49. [X]退出
  50.  
  51. [*]--------------------------------------------------------------------------------------------------------------[*]
  52.  
  53. [!]Enteryourselection:

项目地址

PackageDNA:【GitHub传送门

原文地址:https://www.freebuf.com/articles/security-management/289835.html