使用Deptective探索依赖关系 - Trail of Bits博客

Evan Sultanik, Andrew Pan
2025年7月8日
工具发布, 研究实践

等等，不是已经有类似工具了吗？

现有许多自动发现软件依赖关系的工具。例如，Trail of Bits创建并维护的it-depends使用包规范来枚举依赖及其漏洞。但这不是Deptective要解决的问题。Deptective不是基于软件自我报告的需求来检测依赖，而是通过观察软件在运行时需要什么来工作。

Deptective可以处理任何Linux进程：原生二进制文件、shell脚本，甚至构建系统。例如，只需在开源仓库中运行deptective ./configure或deptective cmake ..，它就会自动确定安装所需的本机包以使软件构建成功！

Deptective在精神上与nix-autobahn相似，但Deptective不依赖于Nix，并且可以枚举任意运行时依赖。

它是如何工作的？

下面有更多细节，但简而言之，Deptective追踪软件以记录软件尝试读取但环境中缺失的文件；找到一个提供缺失文件的包；安装该包；然后对进一步的缺失包重复此过程，必要时进行回溯。

图1：Deptective的依赖探索和回溯策略

追踪

包的核心是文件组；安装包会将其组成文件放到本地系统上。程序尝试访问其依赖的文件，当文件不存在时失败。Deptective使用strace追踪系统调用来运行目标程序。Deptective分析生成的系统调用追踪以记录所有失败的文件访问。如果程序执行失败（即返回非零退出代码），Deptective会继续查找包含缺失文件的包。

找到要安装的正确包

一旦我们知道程序未能加载的缺失文件，如何确定提供这些文件的包？幸运的是，大多数Linux发行版提供了一个将文件映射到相应包的索引。Deptective搜索所选发行版的索引以找到包含所需文件的包。一旦选择候选包，它会创建一个新的容器快照，安装该包，并在安装包的环境中重新追踪目标程序。我们采用一个简单的启发式方法来确定安装的包是否正确：如果追踪与之前的追踪相同，则该包无关紧要，可以从考虑中移除。如果新包的存在产生了一个独特的程序追踪，则该包相关。Deptective继续安装候选包，直到没有更多可尝试的包或软件以退出代码零完成。

安装潜在依赖

有时索引中有多个包可以满足依赖。在这种情况下，Deptective尝试每个候选包，直到找到一个产生独特程序追踪的包。它在与系统发行版和版本匹配的Docker容器中追踪程序。Deptective在单独的容器中安装每个候选包，并删除那些未通过我们启发式方法的包。一旦Deptective确定一个包相关，它会快照Docker容器，将其作为未来安装的基础。使用Docker提供了一个“干净”的起始环境，并且不会污染主机操作系统的包。这也意味着Deptective不仅可以在Linux上运行，还可以在macOS和Windows上运行。

试试看

Deptective只是Trail of Bits开发的众多自定义工具之一，用于深入了解软件供应链。如果您或您的组织对此感兴趣，请与我们联系！

如果您喜欢这篇文章，请分享： Twitter LinkedIn GitHub Mastodon Hacker News

最近文章
非传统创新者奖学金
在PajaMAS中劫持多代理系统
我们构建了MCP一直需要的安全层
利用废弃硬件中的零日漏洞
Inside EthCC[8]：成为智能合约审计员

© 2025 Trail of Bits.
使用Hugo和Mainroad主题生成。