关于PackageDNA
PackageDNA它是一种强大的代码安全检测工具。在许多情况下,我们经常在自己的代码或项目中使用其他软件包。该工具可以帮助开发人员、研究人员和组织分析不同编程语言开发的软件包的安全性,并提供相关软件包的安全信息,以便我们能够提前知道该软件库是否符合安全开发过程。
PackageDNA它可以帮助我们检测目标软件包中可能的后门、嵌入式恶意代码、输入错误分析、版本历史记录和CVE漏洞等信息。
工具安装
大多数研究人员可以使用以下命令将项目源代码克隆到当地:
gitclonehttps://github.com/ElevenPaths/packagednaPackageDNA使用了python-magic,即针对libmagic C一个简单的代码库包装,所以我们也需要安装这个库。
Debian/Ubuntu:
$sudoapt-getinstalllibmagic1macOS:
brewinstalllibmagicportinstallfileWindows:
pipinstallhttps://pypi.python.org/pypi/python-magic-bin/0.4.14接下来,操作以下安装脚本:
python3setup.pyinstall--user外部模块
PackageDNA使用外部模块来实现其分析功能,因此还需要提前安装以下外部模块。
- Microsoft AppInpsector:https://github.com/microsoft/ApplicationInspector
- Virus Total API:https://www.virustotal.com/
- LibrariesIO API:https://libraries.io/
- Rubocop:https://github.com/rubocop/rubocop
安装之后,你就可以直接配置外部模块了:
[1]VirusTotalAPIKey:YourAPIKEY[2]AppInspectorabsolutepath:/Local/Path/MSAppInpsectorInstallation[3]Libraries.ioAPIKey:YourAPIKEY[4]GithubToken:YourToken[B]Back[X]Exit注:外部模块不必要,外部模块不安装PackageDNA也可以继续执行,但我们建议用户安装这些模块,以便对工具进行完整的分析。
运行PackageDNA
打开命令行终端,切换到项目根目录,并运行下列命令:
./packagedna.py____________________|__\|||__\|\|||___|||__)|________||_____________||\\||\\||||___|||___//_`|/__)||///_`|/_|/_\||||||\\|||___||||(_|||(__||\\|(_|||(_|||__/||__//||\||||||_|\__,_|\____)|_|\_\\__,_|\__|\___||_____/|_|\__||_||_|__||(____|ModularPackagesAnalyzerFrameworkByElevenPathshttps://www.elevenpaths.com/Usage:python3./packagedna.py[*]--------------------------------------------------------------------------------------------------------------[*][!]Selectfromthemenu:[*]--------------------------------------------------------------------------------------------------------------[*][1]分析包(最新版本)[2]分析包(所有版本)[3]分析本地包[4]信息收集上传文件,分析所有包[6]列出之前分析过的包[7]工具配置[X]退出[*]--------------------------------------------------------------------------------------------------------------[*][!]Enteryourselection:项目地址
PackageDNA:【GitHub传送门】