如何使用PackageDNA检测不同编程语言的软件包安全性

关于PackageDNA

PackageDNA是一款功能强大的代码安全检测工具。在很多场景中,我们往往会在自己的代码或项目中使用其他的软件包。而该工具可以帮助广大开发人员、研究人员和组织分析采用不同编程语言开发的软件包安全,并提供相关软件包的安全信息,使我们能够提前知道此软件库是否符合安全开发流程。

玉环ssl适用于网站、小程序/APP、API接口等需要进行数据传输应用场景,ssl证书未来市场广阔!成为创新互联的ssl证书销售渠道,可以享受市场价格4-6折优惠!如果有意向欢迎电话联系或者加微信:18982081108(备注:SSL证书合作)期待与您的合作!

PackageDNA可以帮助我们检测目标软件包中可能的后门、嵌入的恶意代码、输入错误分析、版本历史记录和CVE漏洞等信息。

工具安装

广大研究人员可以使用下列命令将该项目源码克隆至本地:

 
 
 
      
  
  
  1. git clone https://github.com/ElevenPaths/packagedna 
    2.

PackageDNA使用了python-magic,即针对libmagic C代码库的一个简单封装,因此我们同样需要安装好这个库。

Debian/Ubuntu:

 
 
 
      
  
  
  1. $ sudo apt-get install libmagic1 
    2.

macOS:

 
 
 
      
  
  
  1. brew install libmagic 
    2.   
  
  
  2.  
    3.   
  
  
  3. port install file 
    4.

Windows:

 
 
 
      
  
  
  1. pip install https://pypi.python.org/pypi/python-magic-bin/0.4.14 
    2.

接下来,运行下列安装脚本:

 
 
 
      
  
  
  1. python3 setup.py install --user 
    2.

外部模块

PackageDNA使用了外部模块来实现其分析功能,因此同样需要预先安装下列外部模块。

  • Microsoft AppInpsector:https://github.com/microsoft/ApplicationInspector
  • Virus Total API:https://www.virustotal.com/
  • LibrariesIO API:https://libraries.io/
  • Rubocop:https://github.com/rubocop/rubocop

安装之后,你就可以直接配置外部模块了:

 
 
 
      
  
  
  1. [1] VirusTotal API Key: Your API KEY 
    2.   
  
  
  2.  
    3.   
  
  
  3. [2] AppInspector absolute path: /Local/Path/MSAppInpsectorInstallation 
    4.   
  
  
  4.  
    5.   
  
  
  5. [3] Libraries.io API Key: Your API KEY 
    6.   
  
  
  6.  
    7.   
  
  
  7. [4] Github Token: Your Token 
    8.   
  
  
  8.  
    9.   
  
  
  9. [B] Back 
    10.   
  
  
  10.  
    11.   
  
  
  11. [X] Exit 
    12.

注意:外部模块并不是必须的,不安装外部模块PackageDNA也能继续执行,但我们建议广大用户安装这些模块,以便工具执行完整的分析。

运行PackageDNA

打开命令行终端,切换到项目根目录,并运行下列命令:

 
 
 
      
  
  
  1. ./packagedna.py 
    2.   
  
  
  2.  
    3.   
  
  
  3. _____              _                          ____     __     _  _______ 
    4.   
  
  
  4.  
    5.   
  
  
  5. |  __ \            | |                        |  __ \  |   \  | ||  ___  | 
    6.   
  
  
  6.  
    7.   
  
  
  7. | |__) |__ __ ____ | | __   __ __  ____   ___ | |  \ \ | |\ \ | || |___| | 
    8.   
  
  
  8.  
    9.   
  
  
  9. |  ___// _` |/  __)| |/ /  / _` | / _  | / _ \| |   | || | \ \| ||  ___  | 
    10.   
  
  
  10.  
    11.   
  
  
  11. | |   | (_| || (__ | |\ \ | (_| || (_| ||  __/| |__/ / | |  \   || |   | | 
    12.   
  
  
  12.  
    13.   
  
  
  13. |_|    \__,_|\____)|_| \_\ \__,_| \__  | \___||_____/  |_|   \__||_|   |_| 
    14.   
  
  
  14.  
    15.   
  
  
  15.                                    __| | 
    16.   
  
  
  16.  
    17.   
  
  
  17.                                   (____| 
    18.   
  
  
  18.  
    19.   
  
  
  19.   
    20.   
  
  
  20.  
    21.   
  
  
  21. Modular Packages Analyzer Framework 
    22.   
  
  
  22.  
    23.   
  
  
  23. By ElevenPaths https://www.elevenpaths.com/ 
    24.   
  
  
  24.  
    25.   
  
  
  25. Usage: python3 ./packagedna.py 
    26.   
  
  
  26.  
    27.   
  
  
  27.   
    28.   
  
  
  28.  
    29.   
  
  
  29. [*] -------------------------------------------------------------------------------------------------------------- [*] 
    30.   
  
  
  30.  
    31.   
  
  
  31. [!] Select from the menu: 
    32.   
  
  
  32.  
    33.   
  
  
  33. [*] -------------------------------------------------------------------------------------------------------------- [*] 
    34.   
  
  
  34.  
    35.   
  
  
  35. [1] 分析包(最新版本) 
    36.   
  
  
  36.  
    37.   
  
  
  37. [2] 分析包(所有版本) 
    38.   
  
  
  38.  
    39.   
  
  
  39. [3] 分析本地包 
    40.   
  
  
  40.  
    41.   
  
  
  41. [4] 信息收集 
    42.   
  
  
  42.  
    43.   
  
  
  43. [5] 上传文件并分析所有包 
    44.   
  
  
  44.  
    45.   
  
  
  45. [6] 列出之前分析过的包 
    46.   
  
  
  46.  
    47.   
  
  
  47. [7] 工具配置 
    48.   
  
  
  48.  
    49.   
  
  
  49. [X] 退出 
    50.   
  
  
  50.  
    51.   
  
  
  51. [*] -------------------------------------------------------------------------------------------------------------- [*] 
    52.   
  
  
  52.  
    53.   
  
  
  53. [!] Enter your selection: 
    54.

项目地址

PackageDNA:【GitHub传送门】

文章题目:如何使用PackageDNA检测不同编程语言的软件包安全性
当前路径:http://www.csdahua.cn/qtweb/news25/155325.html

网站建设、网络推广公司-快上网,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等

广告

声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 快上网

成都快上网为您推荐相关内容

网站导航知识

分类信息网

成都响应式网站建设公司    域名申请    tpbzx.cn    四川发电机回收    企业营销型网站    成都主机托管    护栏打桩机    新都四新网站建设    温江服务器托管    犀浦门窗定制    企业网站建设    虚拟主机    德阳电信机房    网站改版    成都棕树电信机房    云服务器    www.tpbzx.cn    手机网站建设套餐    教育网站设计方案    网站seo优化