使用Deptective调查您的依赖关系

Evan Sultanik, Andrew Pan
2025年7月8日
工具发布, 研究实践

等等，不是已经有这样的工具了吗？

现有许多自动查找软件依赖关系的工具。例如，Trail of Bits创建并维护了it-depends，它使用包规范来枚举依赖项及其漏洞。但这并不是Deptective要解决的问题。Deptective不是基于软件自我报告的需求来检测依赖关系，而是通过观察软件在运行时需要什么来工作。

Deptective可以处理任何Linux进程：本地二进制文件、shell脚本，甚至构建系统。例如，只需在开源仓库中运行deptective ./configure或deptective cmake ..，它将自动确定安装所需的本机包以使软件构建成功！

Deptective在精神上与nix-autobahn相似，但Deptective不依赖于Nix，并且可以枚举任意运行时依赖关系。

它是如何工作的？

下面有更多细节，但简而言之，Deptective追踪软件以记录软件尝试读取但环境中缺失的文件；找到一个提供缺失文件的包；安装该包；然后对进一步的缺失包重复此过程，必要时进行回溯。

图1：Deptective的依赖探索和回溯策略

追踪

包的核心是文件组；安装包会将其组成文件放到本地系统上。程序尝试访问其依赖项的文件，当它们不存在时会失败。Deptective使用strace追踪目标程序的系统调用。Deptective分析生成的系统调用追踪以记录所有失败的文件访问。如果程序执行失败（即返回非零退出代码），Deptective会继续查找包含缺失文件的包。

找到要安装的正确包

一旦我们知道程序未能加载的缺失文件，如何确定提供它们的包？幸运的是，大多数Linux发行版提供了一个索引，将文件映射到相应的包。Deptective搜索所选发行版的索引以找到包含所需文件的包。一旦选择候选包，它会创建一个新的容器快照，安装该包，并在安装了包的环境中重新追踪目标程序。我们采用简单的启发式方法来确定安装的包是否正确：如果追踪与之前的追踪相同，则该包无关紧要，可以排除考虑。如果新包的存在产生了目标程序的唯一追踪，则该包相关。Deptective继续安装候选包，直到没有更多可尝试的包或软件以退出代码零完成。

安装潜在依赖项

有时索引中有多个包可以满足依赖关系。在这种情况下，Deptective尝试每个候选包，直到找到一个产生不同程序追踪的包。它在与系统发行版和版本匹配的Docker容器中追踪程序。Deptective在单独的容器中安装每个候选包，并删除那些未通过我们启发式方法的包。一旦Deptective确定一个包相关，它会快照Docker容器，将其作为未来安装的基础。使用Docker提供了一个“干净”的起始环境，并且不会污染主机操作系统的包。这也意味着Deptective不仅可以在Linux上运行，还可以在macOS和Windows上运行。

尝试一下

Deptective只是Trail of Bits开发的众多自定义工具之一，用于深入了解软件供应链。如果您或您的组织对此感兴趣，请与我们联系！

如果您喜欢这篇文章，请分享： Twitter LinkedIn GitHub Mastodon Hacker News

最近文章
构建安全消息传递很难：对Bitchat安全辩论的细致看法
使用Deptective调查您的依赖关系
系好安全带，Buttercup，AIxCC的评分回合正在进行中！
使您的智能合约超越私钥风险成熟
Go解析器中意想不到的安全隐患

© 2025 Trail of Bits.
使用Hugo和Mainroad主题生成。