PyPI 中 Python 包的大规模面向安全的静态分析

下载 PDF 摘要：不同的安全问题是通过软件生态系统归档和交付的开源包的常见问题。这些通常表现为软件弱点，可能导致具体的软件漏洞。本文通过静态分析检查 Python 包中的各种安全问题。该数据集基于存储到 Python 包索引 (PyPI) 的所有包的快照。总共涵盖了超过 19.7 万个包和超过 74.9 万个安全问题。即使在静态分析施加的约束下，(a) 结果表明安全问题普遍存在；大约 46% 的 Python 包至少存在一个问题。在问题类型方面，(b) 异常处理和不同的代码注入是最常见的问题。子流程模块在这方面脱颖而出。反映包的一般小尺寸，(c) 软件尺寸度量不能很好地预测通过静态分析揭示的问题的数量。有了这些结果和伴随的讨论，本文为大规模实证研究领域做出了贡献，以更好地理解软件生态系统中的安全问题。