Новий інструмент Traur для покращення безпеки в Arch Linux
Новий інструмент Traur для покращення безпеки в Arch Linux
З’явився новий інструмент з відкритим кодом, Traur, написаний на Rust, призначений для користувачів Arch. Його мета – підвищити обізнаність про безпеку в екосистемі програмного забезпечення, що підтримується користувачами, в Arch Linux, шляхом автоматизованого оцінювання довіри до пакетів AUR.
Як працює Traur для аналізу AUR пакетів
Traur аналізує встановлені або обрані пакети AUR та генерує сигнали ризику на основі їхніх скриптів збірки, метаданих і попередньої поведінки. Основна мета – принести користь спільноті Arch, допомагаючи користувачам визначити, наскільки довіряти пакету AUR перед установкою або оновленням, без виконання жодного коду. Це особливо корисно після численних випадків компрометації пакетів AUR минулого року.
Функції Traur для оцінки ризику
Traur перевіряє PKGBUILDs та .install скрипти на наявність ризикованих команд оболонки, підозрілих хуків, прихованого коду та відомих патернів зловживання. Він також звертає увагу на URL-адреси джерел, використання контрольних сум, активність підтримувача, популярність пакета, незвичайні назви (наприклад, помилки в написанні) та зміни в історії git, які можуть сигналізувати про ризик, такі як новий мережевий код або раптові зміни авторів.
Додаткові можливості Traur у виявленні загроз
Окрім статичного аналізу, Traur використовує методи виявлення на основі реальних випадків AUR-шкідливих програм, таких як фейкові браузерні пакети, скрипти установки, що завантажують та запускають код, перехоплення orphan-пакетів та способи залишатися непоміченими в системі. Інструмент шукає, наприклад, реверсні оболонки, викрадення облікових даних, отримання додаткових привілеїв, видобуток криптовалюти, завантаження модулів ядра, витік змінних середовища та сканування системи.
Виявлення Traur використовує десять окремих функцій, які надають оцінки ризику, замість простої відповіді “так” чи “ні”. Проект стверджує, що це допомагає виділити потенційно ризиковані пакети, не стверджуючи напевно, що вони є шкідливими програмами. Traur не замінює ручний перегляд або запуск у пісочниці, але надає додаткову інформацію під час установки пакетів.
Зручність використання Traur у повсякденному житті
Для щоденного використання Traur працює з популярними помічниками AUR, такими як Paru та Yay через хук pacman, демонструючи оцінки довіри під час звичайних установок AUR. Інструмент також може сканувати всі встановлені пакети AUR, перевіряти окремі пакети, додавати їх до білого списку або тестувати нещодавно змінені заявки AUR.
Щодо швидкості, проект заявляє, що Traur аналізує кожен пакет в середньому за півмілісекунди. Основне сповільнення відбувається через доступ до git-репозиторію AUR.
Traur випущено під ліцензією MIT, і ви можете встановити його безпосередньо з AUR. Для отримання додаткової інформації, перегляньте сторінку інструменту на GitHub.
Для тих, хто сумнівається в установці пакетів AUR, наша інструкція “Як встановити пакети AUR в Arch Linux” докладно пояснює процес, щоб ви могли впевнено скористатися цією багатою екосистемою програмного забезпечення в Arch.
