أداة مصدر مفتوح جديدة تُدعى Traur، مكتوبة بلغة Rust، تساعد مستخدمي Arch Linux على تقييم مخاطر الأمان في حزم AUR قبل التثبيت. توفر درجات ثقة آلية بناءً على سكريبتات البناء والمتاداتا والسلوك التاريخي. تظهر الأداة وسط حوادث اختراق حزم AUR الأخيرة، بهدف تعزيز حذر المستخدمين دون تنفيذ الكود.
Traur، أداة مصدر مفتوح جديدة الإصدار مكتوبة بلغة Rust، تستهدف مخاوف الأمان في مستودع Arch User Repository (AUR) الخاص بـ Arch Linux، وهو نظام بيئي للحزم يديره المجتمع. نُشرت في 8 فبراير 2026 بواسطة Linuxiac، تحلل الأداة ملفات PKGBUILD وسكريبتات .install بحثًا عن تهديدات محتملة، بما في ذلك أوامر shell مخاطرة، خطافات مشبوهة، كود مخفي، وأنماط إساءة استخدام معروفة. كما تفحص روابط مصادر البرنامج، استخدام checksum، نشاط المُصَمِّم، شعبية الحزمة، أسماء غير عادية مثل typosquatting، وتغييرات تاريخ git مثل كود شبكة جديد أو تغييرات في المؤلف. مستمدة من حوادث برمجيات خبيثة حقيقية، تكتشف Traur أنماطًا مثل حزم متصفحات مزيفة، سكريبتات تثبيت تقوم بتنزيل وتنفيذ كود، استيلاء على حزم يتيمة، وطرق للبقاء مخفية في النظم. المخاطر المحددة المُشار إليها تشمل reverse shells، سرقة بيانات الاعتماد، تصعيد الامتيازات، تعدين العملات الرقمية، تحميل وحدات النواة، تسرب متغيرات البيئة، ومسح النظام. بدلاً من أحكام ثنائية، تستخدم عشر ميزات لتوليد درجات مخاطر دقيقة، مما يساعد المستخدمين على تحديد المشكلات المحتملة دون تصنيف الحزم كخبيثة بشكل قاطع. تتكامل الأداة مع مساعدي AUR مثل Paru وYay عبر خطاف pacman، عرض درجات الثقة أثناء التثبيت. يمكن للمستخدمين فحص جميع حزم AUR المثبتة، أو فردية، أو إدراج حزم موثوقة في قائمة بيضاء، أو تقييم الإرسالات الأخيرة. يبلغ متوسط التحليل 0.5 مللي ثانية لكل حزمة، على الرغم من أن الوصول إلى مستودع git AUR قد يبطئه. صدرت تحت رخصة MIT، Traur متاحة للتثبيت مباشرة من AUR، مع تفاصيل إضافية على صفحة GitHub الخاصة بها. ومع ذلك، تبرز التعليقات المبكرة قيودًا. أفاد معلق واحد، Michael Butash، بفشل الترجمة من AUR في 8 فبراير 2026، واصفًا إياها بـ«غير جاهزة». آخر، John، صحح ادعاء المقال حول فحص سكريبتات التثبيت، مشيرًا إلى أن الكشف المتطور —مثل تحليل shell وفحوصات GTFOBins— ينطبق فقط على PKGBUILD، بينما تحصل سكريبتات .install على مطابقات regex أساسية. أشار إلى برمجيات خبيثة في يوليو 2025 في حزم مثل librewolf-fix-bin، التي أخفت payloads في سكريبتات التثبيت، وذكر تقديم قضية على GitHub حول هذه الفجوة. لا تحل Traur محل المراجعات اليدوية أو sandboxing، لكنها تقدم رؤى قيمة قبل التثبيت، خاصة بعد حوادث اختراق AUR العام الماضي.
