(Не)безопасная разработка: как выявить вредоносный Python-пакет в открытом ПО

[Protos]

Если вы осилили python, не является ли логичным далее осилить анализ power shell? Или если его не умеет ваш PT AI, то и ждать анализ PS нет смысла и это скорее должен быть функционал PT AI? И да я понимаю, что PS не проставляется в виде пакетов.

[ptsecurity]

PowerShell не поставляется в виде пакетов, и у него нет публичного репозитория скриптов. На данный момент мы не планируем охватывать PowerShell. Если требуется проверить его на предмет закладок, лучше воспользоваться песочницей.

[Dynasaur]

Очень познавательно. Периодически задумывался на эту тему (возможности злоумышленникам натворить делов через пакеты опенсорс-продуктов, в частности, моего любимого питона), но не знал борется ли с этим кто-нибудь, и если да, то как. Теперь надо осмыслить написанное, много неожиданных фактов.

[thepythonicway]

Полезный инструмент, спасибо! Проблема, на самом деле, очень важная на мой взгляд. Еще не так давно читал о количестве вредоносных пакетов в PyPi и думал, что было бы круто иметь адекватный сервис по анализу и детекту таких пакетов.

[mrkaban]

PT PyAnalysis работает по модели as a service: Python-разработчики и специалисты по безопасной разработке могут воспользоваться услугой бесплатно

Бесплатно и бесплатный пилот это разные вещи.

Однако, инструмент действительно очень интересный!

[glader]

Кажется вы пропустили https://pypi.org/project/safety/

[ptsecurity]

Добрый день, PyAnalysis ищет только вредоносное ПО. Более того, мы видим, что поиск уязвимостей в коде занимает особое место в процессе безопасной разработки, в то время как выявлению вредоносного кода во внешних зависимостях уделяется мало внимания.