PyPitfall: Dependency Chaos and Software Supply Chain Vulnerabilities in Python

Dit paper introduceert PyPitfall, een kwantitatieve analyse van 378.573 PyPI-pakketten die blootlegt dat duizenden Python-afhankelijkheden kwetsbaarheden bevatten en zo een aanzienlijk risico vormen voor de softwaretoeleveringsketen.

De kern

PyPitfall: Het Grote Python-Dependence-Debakel

Stel je voor dat het bouwen van software in Python lijkt op het bouwen van een enorme, complexe stad. Elke app of programma is een gebouw, en om die gebouwen te maken, gebruiken de architecten (de programmeurs) niet alles zelf. Ze huren in plaats daarvan kant-en-klare onderdelen in van derden: ramen, deuren, elektriciteitskasten en zelfs complete muren. In de Python-wereld heten deze onderdelen packages.

Deze onderdelen worden opgeslagen in een gigantisch magazijn genaamd PyPI (Python Package Index). Er staan daar meer dan 600.000 verschillende onderdelen. Het is fantastisch: je hoeft het wiel niet opnieuw uit te vinden. Je kunt gewoon een deur huren die al door duizenden anderen is getest.

Maar hier zit de adder onder het gras...

Soms is die "deur" die je huurt, zelf weer gemaakt van onderdelen die je niet ziet. En die onderdelen zijn weer gemaakt van nog kleinere onderdelen. Dit noemen we een supply chain (toeleveringsketen).

Het probleem is: wat als één van die onzichtbare, kleine onderdelen in de diepte van de keten een gevaarlijk defect heeft? Een gescheurd slot, een lekke brandblusser, of een sluipmoordenaar die wacht om je huis binnen te komen? Omdat je diep in de keten zit, zie je dit defect niet. Je bouwt je prachtige huis op een fundament dat instabiel is.

Wat hebben de onderzoekers gedaan?

Jacob Mahon en zijn team van het New Jersey Institute of Technology hebben een digitale detective-agent gebouwd, genaamd PyPitfall. Hun doel was om door die hele labyrintachtige stad te lopen en te kijken: "Wie bouwt er nog steeds op gebouwen met een bekend, gevaarlijk defect?"

Ze hebben niet zelf nieuwe gaten in muren geboord. Ze hebben gekeken naar de plannen (de metadata) van bijna 380.000 gebouwen. Ze hebben gecontroleerd of deze gebouwen afhankelijk waren van onderdelen waarvan we al weten dat ze kapot zijn.

Wat vonden ze? (De Schokkende Feiten)

Stel je voor dat je een lijst maakt van alle gebouwen in de stad. De resultaten waren als volgt:

1. De "Verplichte" Rampen (4.655 gebouwen):
   Er zijn 4.655 gebouwen die verplicht een kapot onderdeel gebruiken. Het is alsof de bouwvoorschriften zeggen: "Je mag alleen bouwen met dit specifieke, gebroken slot." Als je dit gebouw wilt gebruiken, moet je het kapotte slot erin hebben. Er is geen andere optie. Dit is een Garandeerde Blootstelling.

2. De "Mogelijke" Rampen (141.044 gebouwen):
   Er zijn nog eens 141.044 gebouwen waarbij de bouwvoorschriften zeggen: "Je mag een slot gebruiken dat ouder is dan versie 1.0." Het probleem? Versie 1.0 is kapot. De bouwmeester kan een nieuw slot kiezen, maar de regels staan ook toe dat ze het oude, kapotte slot gebruiken. Als de bouwer niet oplet, of als het systeem per ongeluk het oude kiest, zit je in de problemen. Dit is een Potentiële Blootstelling.

Hoe diep zit dit probleem?

De onderzoekers ontdekten dat deze ketens soms ongelooflijk diep zijn. Soms moet je 20 of 23 lagen diep graven om te zien welk onderdeel er kapot is.

• Vergelijking: Het is alsof je een sandwich eet. Je ziet het brood (je eigen app), maar onder het brood zit kaas, dan ham, dan sla, dan een sausje, dan een stukje brood van iemand anders... en dieper nog zit er een stukje brood dat verrot is. Je proeft het niet, maar je wordt er ziek van.

Speciale gevallen: De Labyrinten en de Kringen

Tijdens hun zoektocht vonden ze ook rare dingen:

• De Oneindige Lopen: Sommige gebouwen hangen in een kring. Gebouw A heeft Gebouw B nodig, B heeft C nodig, en C heeft weer A nodig. De computer probeert dit op te lossen en blijft voor eeuwig ronddraaien, net als een hond die zijn eigen staart probeert te vangen.
• De Sudoku-truc: Ze vonden zelfs een pakketje dat de regels van Sudoku gebruikte om te voorkomen dat het zichzelf zou installeren. Het was zo creatief dat het de computer in de war bracht.

Waarom is dit belangrijk voor jou?

Je hoeft geen programmeur te zijn om dit te begrijpen.

• Het is een kettingreactie: Als een klein, onbekend onderdeel in de diepte van de keten een zwakke schakel is, kan dat je hele applicatie (je bankapp, je ziekenhuissoftware, je favoriete spel) kwetsbaar maken.
• Het is onzichtbaar: Omdat we zo afhankelijk zijn van deze "gehuurde" onderdelen, zien we de gevaren vaak niet totdat het te laat is.
• Het is een waarschuwing: De onderzoekers zeggen: "Weet dat je stad op kwetsbaar fundament staat." Ze hebben hun bevindingen doorgegeven aan de beheerders van PyPI, zodat ze kunnen proberen de stad veiliger te maken.

Conclusie

Deze paper, PyPitfall, is een grote, rood-witte vlag die in de Python-wereld wordt geplant. Het zegt: "Kijk uit! We bouwen op een gigantisch, complex web van afhankelijkheden, en veel daarvan rust op bekende, gevaarlijke gaten."

Het is een oproep aan ontwikkelaars om niet blindelings te vertrouwen op wat ze huren, maar om te controleren of hun toeleveringsketen veilig is. Want in de digitale wereld is een zwakke schakel in de keten vaak genoeg om de hele brug te laten instorten.

Technische samenvatting

Hier is een gedetailleerde technische samenvatting van het paper "PyPitfall: Dependency Chaos and Software Supply Chain Vulnerabilities in Python" in het Nederlands.

Titel: PyPitfall: Dependency Chaos en Kwetsbaarheden in de Software Supply Chain van Python

Auteurs: Jacob Mahon, Chenxi Hou, Zhihao Yao (New Jersey Institute of Technology)

---

1. Het Probleem

Moderne Python-ontwikkeling is sterk afhankelijk van third-party packages, wat leidt tot complexe software supply chains. Hoewel hergebruik van code de ontwikkeling versnelt, introduceert het aanzienlijke veiligheidsrisico's. Kwetsbaarheden in één package kunnen zich via directe en transitieve (indirecte) afhankelijkheden voortplanten naar downstream-toepassingen.

De belangrijkste uitdagingen zijn:

• Complexiteit: De afhankelijkheidsstructuur van PyPI (Python Package Index) is een "labyrint" met soms honderden lagen diep.
• Onzichtbaarheid: Ontwikkelaars zijn zich vaak niet bewust van de diepe transitieve afhankelijkheden of de specifieke versies die worden opgelost.
• Gebrek aan inzicht: Bestaande tools (zoals pip-audit) scannen geïnstalleerde packages, maar er ontbreekt een kwantitatieve analyse van de kwetsbaarheden die inherent zijn aan de afhankelijkheidsrelaties zelf binnen het volledige ecosysteem.
• Verouderde afhankelijkheden: Ontwikkelaars kiezen vaak voor verouderde packages om compatibiliteitsproblemen te vermijden ("dependency hell"), wat hen blootstelt aan bekende kwetsbaarheden.

2. Methodologie

De auteurs introduceerden PyPitfall, een systeem voor kwantitatieve analyse van kwetsbare afhankelijkheden in het PyPI-ecosysteem. De aanpak bestaat uit vier hoofdstappen:

1. Dataverzameling:

   • Er werd een lijst opgehaald van alle 627.810 packages op PyPI.
   • Met het tool Johnnydep (dat de pip API gebruikt voor een "dry-run" installatie) werden de afhankelijkheidsmetadata (namen en versie-specificaties) geëxtraheerd.
   • Resultaat: 378.573 packages (60,3%) konden succesvol worden opgelost. De resterende packages waren onoplosbaar door cyclische afhankelijkheden, ontbrekende packages, of compatibiliteitsproblemen (bijv. vereiste Python-versies).

2. Afhankelijkheidsoplossing en Constraint Aggregatie:

   • Het systeem loste de afhankelijkheidsboom op. Bij meerdere paden naar dezelfde package werden de versie-constraints geaggregeerd (de doorsnede van alle constraints) om valse positieven te voorkomen.
   • Er werd rekening gehouden met PEP 440 (versiestandaard) en logische operatoren (zoals >=, <, ==).

3. Vergelijking met Kwetsbaarheden:

   • De auteurs gebruikten een gecureerde lijst van 67 CVE's (Common Vulnerabilities and Exposures) die specifiek Python-bibliotheken raken.
   • Er werd een intersectie berekend tussen de toegestane versies (S) van een afhankelijkheid en de bekende kwetsbare versies (V).

4. Classificatie van Blootstelling:

   • Garandeerde Blootstelling (Guaranteed Exposure): Als de volledige set toegestane versies binnen de kwetsbare set valt ($S \subseteq V$). Elke installatie resulteert in een kwetsbare versie.
   • Potentiële Blootstelling (Potential Exposure): Als er een overlap is ($S \cap V \neq \emptyset$), maar de set is niet volledig kwetsbaar. De installatie kan een kwetsbare versie laden, afhankelijk van hoe pip de resolutie uitvoert.

3. Belangrijkste Bijdragen

• Uitgebreide Analyse: Een kwantitatieve studie van 378.573 PyPI-packages, inclusief hun directe en transitieve afhankelijkheden.
• Identificatie van Risico's: Het blootleggen van 4.655 packages die expliciet een kwetsbare versie vereisen en 141.044 packages die kwetsbare versies toestaan binnen hun constraints.
• Ecosysteem-inzicht: Het bieden van data-gedreven inzichten in de diepte en complexiteit van de Python supply chain, inclusief de prevalentie van cyclische afhankelijkheden.
• Verantwoordelijke Openbaarmaking: De bevindingen zijn verantwoordelijk gedeeld met de Python Packaging Authority.

4. Resultaten

De analyse leverde de volgende cruciale bevindingen op:

• Complexiteit: De 378.573 onderzochte packages bevatten 57.767 unieke packages en bijna 48 miljoen afhankelijkheidsknooppunten.
  • Gemiddeld heeft een package 2,6 directe afhankelijkheden en 129,6 transitieve afhankelijkheden.
  • De gemiddelde diepte van afhankelijkheidsketens is 2,3 niveaus, maar de langste keten die werd gevonden had 23 niveaus.
• Cyclische Afhankelijkheden: Er werden 1.075.559 cyclische afhankelijkheden gedetecteerd (die de analyse verstoorden). Deze komen vaak voor op diepere niveaus (gemiddeld 10,3 niveaus diep), wat aangeeft dat ze moeilijk te detecteren en op te lossen zijn.
• Kwetsbaarheden:
  • 4.655 packages hebben een garandeerde blootstelling aan een bekende kwetsbaarheid.
  • 141.044 packages hebben een potentiële blootstelling.
  • De gemiddelde diepte van blootgestelde paden is hoger (4,1 voor garandeerde, 6,2 voor potentiële) dan het ecosysteemgemiddelde, wat suggereert dat kwetsbare packages vaak diep in de keten zitten.
• Case Study (urllib3): De populaire HTTP-library urllib3 bleek 407.333 keer voor te komen in afhankelijkheidsketens. Drie specifieke CVE's in urllib3 leidden tot duizenden garandeerde blootstellingen in andere packages.
• Versie-fragmentatie: Er is een grote variatie in versie-constraints. Packages zoals setuptools hebben honderden unieke sets van versie-eisen, wat de resolutie complex maakt.

5. Betekenis en Conclusie

Het paper "PyPitfall" onderstreept dat de veiligheid van de Python-software supply chain niet alleen afhangt van het oplossen van individuele kwetsbaarheden, maar van het beheersen van de afhankelijkheidsrelaties zelf.

• Veiligheidsimplicatie: Zelfs als een package zelf veilig is, kan het kwetsbaar zijn door een transitieve afhankelijkheid die een verouderde, kwetsbare versie vereist.
• Beperkingen: De studie is beperkt tot een gecureerde lijst van 67 CVE's; een analyse met de volledige database zou waarschijnlijk meer blootstellingen opleveren. Ook konden niet alle packages worden opgelost (39,7% mislukte), wat betekent dat het werkelijke risico mogelijk nog hoger is.
• Aanbeveling: Er is een dringende behoefte aan betere tools en bewustwording voor ontwikkelaars om de diepte van hun afhankelijkheden te begrijpen en verouderde of kwetsbare transitieve dependencies te updaten. De auteurs pleiten voor een proactieve aanpak van supply chain security in plaats van reactief scannen.

Samenvattend biedt PyPitfall een schokkend realistisch beeld van de kwetsbaarheid van het Python-ecosysteem door de "verborgen" risico's in de afhankelijkheidsketens bloot te leggen.