Python 或允許安全工具查看運行時的操作

GIF

聚焦源代碼安全，網羅國內外最新資訊！

翻譯：360代碼衛士團隊

Python語言中或增加新功能，讓運行時(runtime)變得「透明」，以便讓安全和審計工具查看Python可能運行的潛在的危險操作。

Python 目前並不允許安全工具查看運行時所執行的操作。除非其中某個操作生成某些可能引發告警的錯誤，否則安全工具和審計工具對攻擊者可能使用 Python 在系統上執行惡意操作的行為毫不知情。

PEP-551 提議增加兩個 API

不過，Python 核心開發人員 Steve Dower 在 PEP-551（Python 增強建議書 551）中提議增加兩個新的 API，即 Audit Hook 和 Verified Open Hook，以便安全工具能檢測到 Python 何時在執行可能具有危險性的操作。Dower 指出，這兩個API並未默認設置好，而是需要修改入口點庫來啟用任意功能。

Audit Hook API 將提出關於某種 Python 操作類型的告警信息。Dower 指出，這些操作一般都深藏在 Python 運行時或標準庫中，如動態碼編譯、模塊導入、DNS解析或使用某些模塊如 ctypes。

安全工具或審計工具可能將這些信息視作告警標誌，獲知某些可疑活動的存在，並標記或阻止 Python 進程在造成任何實質性損害時繼續運行。

Verified Open Hook API 機制能夠讓 Python 運行時獲悉可以運行或篡改哪些文件。Dower 解釋稱，「多數操作系統都具備區分可被執行以及不可被執行文件的機制。例如，可能是在許可權欄位執行比特，或者是用於檢測潛在代碼篡改情況的文件內容經驗證的哈希。這些都是能夠阻止未受既定環境批准的數據或代碼執行的安全機制。目前，Python 尚無法在啟動腳本或導入模塊時進行融合。」

對 Python 的性能影響微乎其微

Dower 已在去年8月提出 PEP-551。早期的測試表明增加這兩個 API 對 Python 性能的影響微乎其微，「大多數和基準展示出快1.05倍至慢1.05倍」的結果。

最初計劃在2018年6月中旬推出的 Python 3.7 中配備 PEP-551，但最終未能如願。或許會在後續版本中推出。

Python 是第二個解決「安全光學 (security optics)」問題（即編程和腳本運行時應該提供最低透明度以幫助預防不良行為的概念）的主要腳本引擎。微軟正在採取類似措施，增加 PowerShell 對安全工具的透明度。

https://www.bleepingcomputer.com/news/security/python-may-let-security-tools-see-what-operations-the-runtime-is-performing/

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！