تحلیل تجربی آسیب‌پذیری‌های امنیتی در بسته های پایتون

اکوسیستم های نرم افزاری نقش مهمی در توسعه نرم افزار مدرن، ارائه یک پلت فرم باز بسته های قابل استفاده مجدد که وظایف توسعه را سرعت بخشیده و تسهیل می کند. با این حال، این سطح از قابلیت استفاده مجدد کد توسط نرم افزار پشتیبانی می شود. اکوسیستم ها همچنین باعث کشف آسیب پذیری های امنیتی می شوندکه بسیار دشوارتر است، زیرا سیستم های نرم افزاری به تعداد فزاینده ای از بسته ها وابسته هستند. اخیراً آسیب پذیری های امنیتی در اکوسیستم npm، اکوسیستم بسته های node.js، دارند. در ادبیات مطالعه شده است. به عنوان اکوسیستم های نرم افزاری مختلف تجسم زبان های برنامه نویسی مختلف و خصوصیات، ما استدلال می کنیم که مطالعه سایر محبوب ها نیز مهم است. زبان های برنامه نویسی برای ایجاد شواهد تجربی قوی تر درباره آسیب‌پذیری‌ها در اکوسیستم‌های نرم‌افزاری در این مقاله، ما یک مطالعه تجربی از 550 گزارش آسیب‌پذیری را ارائه می‌کنیم که بر 252 بسته پایتون در اکوسیستم پایتون تاثیر می‌گذارد.. (pypi). به طور خاص، ما تکثیر و طول عمر را مطالعه می کنیم. آسیب‌پذیری‌های امنیتی، محاسبه مدت زمانی که طول می‌کشد. کشف و رفع شود. یافته های ما نشان می دهد که کشف شده است. آسیب‌پذیری‌های بسته‌های پایتون به مرور زمان در حال افزایش است و کشف آنها بیش از 3 سال طول می کشد. اکثریت این آسیب‌پذیری‌ها (50.55%) تنها پس از عمومی شدن رفع می‌شوند اعلام کرد و زمان کافی برای بهره برداری مهاجمان داده شد. ما شباهت هایی در برخی ویژگی های آسیب پذیری در pypi پیدا کنید. و npm و واگرایی هایی که می توان به خاص نسبت داد. سیاست های pypi با استفاده از یافته های خود، مجموعه ای ارائه می کنیم. مفاهیمی که می تواند به امنیت اکوسیستم های نرم افزاری کمک کند. با بهبود فرآیند کشف، اصلاح و مدیریت آسیب پذیری های بسته