源代码审计和静态代码分析
源代码审计和静态代码分析Aura是一个静态分析框架,旨在应对PyPI上发布的恶意包和易受攻击的代码不断增加的威胁。Aura的架构基于一个强大的插件系统,您可以在其中自定义几乎所有内容,从一组数据分析器、传输协议到自定义输出格式。项目目标:*在上传到PyPI的包上提供一个自动监控系统,对可能表明正在进行的攻击或代码中的漏洞的异常发出警报*使组织能够对源代码进行自动安全审计并实施安全编码实践,重点是审计3rd方代码,例如python包依赖项*允许研究人员大规模扫描代码存储库、创建数据集并进行分析,以进一步推进易受攻击和恶意代码依赖项领域的研究功能列表:*适用于分析恶意软件,保证零代码执行*通过重写AST树的高级反混淆机制——持续传播、代码展开和其他肮脏的技巧*递归扫描自动解压zip、wheels等档案并扫描内容*还支持扫描非python文件——插件可以在“原始文件”模式下工作,例如内置的Yara集成*扫描硬编码机密、密码和其他敏感信息*自定义差异引擎-您可以比较不同数据源之间的变化,例如对PyPI包进行域名仿冒与所做的变化*适用于Python2.x和Python3.x源代码*高性能,旨在扫描整个PyPI存储库*以多种格式输出,例如纯文本、JSON、SQLite、SARIF等……*在超过4TB的压缩Python源代码上进行测试*Aura能够报告代码行为,例如网络通信、文件访问或系统命令执行*计算“光环分数”,告诉您源代码/输入数据的可信度*还有更多……#框架
