تحلیل تجربی آسیب پذیری های امنیتی در بسته های پایتون

اکوسیستم های نرم افزار ی نقش مهمی در توسعه نرم افزار مدرن، ارائه یک پلت فرم با زبسته های قابل استفاده مجدد که وظایفتوسعه را سرعت بخشیده و تسهیل می کند. با این حال، این سطح از قابلیت استفاده مجدد کد توسط نرم افزار پشتیبانی می شود. اکوسیستمها همچنین باعث کشف آسیب پذیری های امنیتی می شوند که بسیار دشوارتر است، زیرا سیستم های نرم افزاری به تعداد فزاینده ای از بستهها وابسته هستند. اخیرا آسیب پذیری های امنیتی در اکوسیستم npm، اکوسیستم بسته های Node.js ، دارند . در ادبیات مطالعه شده است.به عنوان اکوسیستم های نرم افزاری مختلف تجسم زبان های برنامه نویسی مختلف و خصوصیات، ما استدلال می کنیم که مطالعه سایرمحبوب ها نیز مهم است. زبان های برنامه نویسی برای ایجاد شواهد تجربی قوی تر درباره آسی بپذیر یها در اکوسیستم های نرم افزاری در اینمقاله، ما یک مطالعه تجربی از ۵۵۰ گزارش آسیب پذیری را ارائه می کنیم که بر ۲۵۲ بسته پایتون در اکوسیستم پایتون تاثیر می گذارد. (PyPi). به طور خاص، ما تکثیر و طول عمر را مطالعه می کنیم . آسیب پذیریهای امنیتی، محاسبه مدت زمانی که طول می کشد . کشف و رفعشود. یافته های ما نشان می دهد که کشف شده است. آسیب پذیری های بسته های پایتون به مرور زمان در حال افزایش است و کشف آنهابیش از ۳ سال طول می کشد. اکثریت این آسیب پذیری ها (۵۰.۵۵ %) تنها پس از عمومی شدن رفع می شوند اعلام کرد و زمان کافی برای بهرهبرداری مهاجمان داده شد. ما شباهت هایی در برخی ویژگی های آسیب پذیری در PyPi پیدا کنید. و npm و واگرایی هایی که می توان بهخاص نسبت داد. سیاست های PyPi با استفاده از یافته های خود، مجموعه ای ارائه می کنیم . مفاهیمی که می تواند به امنیت اکوسیستمهای نرم افزاری کمک کند. با بهبود فرآیند کشف، اصلاح و مدیریت آسی ب پذیری های بسته