如何使用PackageDNA检测不同编程语言的软件包安全性

关于PackageDNA

PackageDNA是一款功能强大的代码安全检测工具。在很多场景中，我们往往会在自己的代码或项目中使用其他的软件包。而该工具可以帮助广大开发人员、研究人员和组织分析采用不同编程语言开发的软件包安全，并提供相关软件包的安全信息，使我们能够提前知道此软件库是否符合安全开发流程。

PackageDNA可以帮助我们检测目标软件包中可能的后门、嵌入的恶意代码、输入错误分析、版本历史记录和CVE漏洞等信息。

工具安装

广大研究人员可以使用下列命令将该项目源码克隆至本地：

1. gitclonehttps://github.com/ElevenPaths/packagedna

PackageDNA使用了python-magic，即针对libmagic C代码库的一个简单封装，因此我们同样需要安装好这个库。

Debian/Ubuntu：

1. $sudoapt-getinstalllibmagic1

macOS：

1. brewinstalllibmagic
2.  
3. portinstallfile

Windows：

1. pipinstallhttps://pypi.python.org/pypi/python-magic-bin/0.4.14

接下来，运行下列安装脚本：

1. python3setup.pyinstall--user

外部模块

PackageDNA使用了外部模块来实现其分析功能，因此同样需要预先安装下列外部模块。

• Microsoft AppInpsector：https://github.com/microsoft/ApplicationInspector
• Virus Total API：https://www.virustotal.com/
• LibrariesIO API：https://libraries.io/
• Rubocop：https://github.com/rubocop/rubocop

安装之后，你就可以直接配置外部模块了：

1. [1]VirusTotalAPIKey:YourAPIKEY
2.  
3. [2]AppInspectorabsolutepath:/Local/Path/MSAppInpsectorInstallation
4.  
5. [3]Libraries.ioAPIKey:YourAPIKEY
6.  
7. [4]GithubToken:YourToken
8.  
9. [B]Back
10.  
11. [X]Exit

注意：外部模块并不是必须的，不安装外部模块PackageDNA也能继续执行，但我们建议广大用户安装这些模块，以便工具执行完整的分析。

运行PackageDNA

打开命令行终端，切换到项目根目录，并运行下列命令：

1. ./packagedna.py
2.  
3. ____________________
4.  
5. |__\|||__\|\|||___|
6.  
7. ||__)|________||_____________||\\||\\||||___||
8.  
9. |___//_`|/__)||///_`|/_|/_\||||||\\|||___|
10.  
11. |||(_|||(__||\\|(_|||(_|||__/||__//||\|||||
12.  
13. |_|\__,_|\____)|_|\_\\__,_|\__|\___||_____/|_|\__||_||_|
14.  
15. __||
16.  
17. (____|
18.  
19.  
20.  
21. ModularPackagesAnalyzerFramework
22.  
23. ByElevenPathshttps://www.elevenpaths.com/
24.  
25. Usage:python3./packagedna.py
26.  
27.  
28.  
29. [*]--------------------------------------------------------------------------------------------------------------[*]
30.  
31. [!]Selectfromthemenu:
32.  
33. [*]--------------------------------------------------------------------------------------------------------------[*]
34.  
35. [1]分析包（最新版本）
36.  
37. [2]分析包（所有版本）
38.  
39. [3]分析本地包
40.  
41. [4]信息收集
42.  
43. [5]上传文件并分析所有包
44.  
45. [6]列出之前分析过的包
46.  
47. [7]工具配置
48.  
49. [X]退出
50.  
51. [*]--------------------------------------------------------------------------------------------------------------[*]
52.  
53. [!]Enteryourselection:

项目地址

PackageDNA：【GitHub传送门】

原文地址:https://www.freebuf.com/articles/security-management/289835.html