Для пользователей Arch появился новый инструмент с открытым исходным кодом traur, написанный на языке Rust. Он призван повысить уровень безопасности в поддерживаемой пользователями экосистеме программного обеспечения Arch Linux за счёт автоматической оценки надёжности пакетов AUR.
Traur анализирует установленные или выбранные пакеты AUR и выдает предупреждения о рисках на основе скриптов сборки, метаданных и истории поведения пакетов. Основная цель — принести пользу сообществу Arch, помогая пользователям решить, насколько можно доверять тому или иному пакету AUR, прежде чем устанавливать или обновлять его, — и все это без запуска какого-либо кода. И я могу сказать, что это особенно актуально после того, как в прошлом году несколько пакетов AUR были взломаны.
Кроме того, Traur проверяет PKGBUILD и .install скрипты на наличие опасных команд оболочки, подозрительных хуков, скрытого кода и известных случаев злоупотребления. Он также анализирует URL-адреса источников, использование контрольных сумм, активность сопровождающих, популярность пакетов, необычные названия (например, из-за опечаток) и изменения в истории git, которые могут указывать на риски, например появление нового сетевого кода или внезапная смена авторов.
Traur анализирует пакеты Arch AUR на предмет скрытых рисков.
Помимо статического анализа, Traur использует методы обнаружения, основанные на реальных случаях заражения вредоносным ПО из AUR, таких как поддельные браузерные пакеты, установочные скрипты, загружающие и запускающие код, «бесхозные» пакеты и способы скрытия в системе. Он выявляет такие угрозы, как обратные команды, кража учетных данных, получение дополнительных привилегий, майнинг криптовалюты, загрузка модулей ядра, утечка переменных среды и сканирование системы.
Для обнаружения Traur использует десять отдельных функций, которые позволяют оценить уровень риска, а не просто ответить «да» или «нет». В проекте утверждают, что это помогает выявлять потенциально опасные пакеты, не утверждая при этом, что они являются вредоносными. Traur не заменяет ручную проверку или «песочницу», но предоставляет дополнительную информацию при установке пакетов.
В повседневном использовании Traur работает с популярными помощниками AUR, такими как Paru и Yay, через хук pacman, отображая показатели надежности при обычной установке пакетов из AUR. Он также может сканировать все установленные пакеты AUR, проверять отдельные пакеты, добавлять в белый список проверенные пакеты или одновременно тестировать недавно измененные пакеты из AUR.
Что касается скорости, то, по данным проекта, Traur в среднем анализирует каждый пакет за полмиллисекунды. Основное замедление происходит при обращении к репозиторию AUR git.
Traur распространяется по лицензии MIT, и вы можете установить его прямо из AUR. Для получения дополнительной информации см. страницу инструмента на GitHub.
Для тех, кто не уверен в своих силах при установке пакетов AUR, мы подготовили руководство «Как установить пакеты AUR в Arch Linux», в котором процесс установки описан простым и понятным языком. С его помощью вы сможете уверенно пользоваться этой обширной экосистемой программного обеспечения в Arch.