关于PackageDNAPackageDNA是一个强大的代码安全检测工具。在很多场景下,我们倾向于在自己的代码或项目中使用其他软件包。这个工具可以帮助开发人员、研究人员和组织分析使用不同编程语言开发的软件包的安全性,并提供相关软件包的安全信息,使我们能够提前知道这个软件库是否符合安全开发流程。PackageDNA可以帮助我们检测目标软件包中可能存在的后门、嵌入的恶意代码、输入错误分析、版本历史和CVE漏洞。工具安装研究者可以使用如下命令将项目源码克隆到本地:gitclonehttps://github.com/ElevenPaths/packagednaPackageDNA使用python-magic,是对libmagicC代码库的简单封装,所以我们还需要安装好的这个图书馆。Debian/Ubuntu:$sudoapt-getinstalllibmagic1macOS:brewinstalllibmagicportinstallfileWindows:pipinstallhttps://pypi.python.org/pypi/python-magic-bin/0.4.14接下来,运行以下安装脚本:python3setup.pyinstall--userexternalmodulePackageDNAuse外部模块用于实现其分析功能,因此还需要预装以下外部模块。MicrosoftAppInpsector:https://github.com/microsoft/ApplicationInspector病毒总API:https://www.virustotal.com/LibrariesIOAPI:https://libraries.io/Rubocop:https://github.com/rubocop安装/rubocop后,可以直接配置外部模块:[1]VirusTotalAPIKey:YourAPIKEY[2]AppInspectorabsolutepath:/Local/Path/MSAppInpsectorInstallation[3]Libraries.ioAPIKey:YourAPIKEY[4]GithubToken:YourToken[B]Back[X]退出注意:不需要外部模块,PackageDNA可以不安装外部模块继续,但我们建议用户安装这些模块,以便该工具可以进行完整的分析。运行PackageDNA打开命令行终端,切换到项目根目录,运行以下命令:||\\||\\||||___|||___//_`|/__)||///_`|/_|/_\||||||\\|||___||||(_|||(__||\\|(_|||(_|||__/||__//||\||||||_|\__,_|\____)|_|\_\\__,_|\__|\___||_____/|_|\__||_||_|__||(____|ModularPackagesAnalyzerFrameworkByElevenPathshttps://www.elevenpaths.com/用法:python3./packagedna.py[*]--------------------------------------------------------------------------------------------------------[*][!]从菜单中选择:[*]----------------------------------------------------------------------------------------------------------[*][1]分析包(最新版本)[2]分析包(所有版本)[3]分析本地包[4]信息收集[5]上传文件并分析所有包[6]列出之前分析过的包[7]工具配置[X]退出[*]--------------------------------------------------------------------------------------------------------------[*][!]Enteryourselection:ProjectaddressPackageDNA:[GitHubPortal]
