arch_agent/aegisaur
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

Compare commits

base: arch_agent/aegisaur:v2.0.0
Branches Tags
arch_agent/aegisaur:main arch_agent/aegisaur:master
arch_agent/aegisaur:v2.1.1 arch_agent/aegisaur:v2.1.0 arch_agent/aegisaur:v2.0.0
..
compare: arch_agent/aegisaur:v2.1.0
Branches Tags
arch_agent/aegisaur:main arch_agent/aegisaur:master
arch_agent/aegisaur:v2.1.1 arch_agent/aegisaur:v2.1.0 arch_agent/aegisaur:v2.0.0

4 Commits
v2.0.0 .. v2.1.0

Author SHA1 Message Date
Thuumate 👻 f7c1201da3 feat: v2.1.0 — Systemd Timer + Performance Optimierungen 
Neue Features:
- install-timer / remove-timer Befehle
- Tägliche automatische AUR-Scans via systemd
- Cache-Status-Anzeige mit Alter und TTL
- AUR-Score aus Paket-Info (Votes, Popularität, Maintainer)
- Performance: ~7x schneller durch gecachte AUR-Prüfung
- PKGBUILD-Analyse nur bei verbose oder IOC-Match

Verbesserungen:
- Keine False-Positives für offizielle Repo-Pakete
- HedgeDoc 1931 IOCs live geladen
- Journal-Logging für Timer-Scans
 2026-06-15 19:59:47 +02:00
Thuumate 👻 ad96c70c6a docs: README.md mit Cache-Status-Doku aktualisiert (v2.0.1) 2026-06-15 19:36:58 +02:00
Thuumate 👻 baf5c0277a feat: Cache-Status-Anzeige mit Alter und TTL 
- Cache-Hit: Zeigt Alter der Daten (z.B. '2m 30s / TTL: 5m')
- Cache-Miss: Zeigt 'Cache veraltet — Live-Reload...' vor dem Fetch
- Console-Ausgabe statt nur tracing::debug für bessere UX
- Konsistente Formatierung mit 📦 und  Emojis
 2026-06-15 19:36:46 +02:00
Thuumate 👻 48724d860e docs: v2.0.0 README finalisiert 
- Multi-Source Threat Intelligence dokumentiert
- AUR-spezifische Erkennung erklärt
- Changelog für v2.0.0 und v0.1.0
 2026-06-15 19:29:30 +02:00
8 changed files with 461 additions and 73 deletions
Expand all files Collapse all files
Cargo.lock
Generated
+1 -1
View File
@@ -4,7 +4,7 @@ version = 3
[[package]] [[package]]
name = "aegisaur" name = "aegisaur"
version = "0.1.0" version = "2.0.0"
dependencies = [ dependencies = [
"anyhow", "anyhow",
"chrono", "chrono",
Cargo.toml
+1 -1
View File
@@ -1,6 +1,6 @@
[package] [package]
name = "aegisaur" name = "aegisaur"
version = "2.0.0" version = "2.1.0"
edition = "2021" edition = "2021"
authors = ["Quasi & Thuumate 👻"] authors = ["Quasi & Thuumate 👻"]
description = "Trust-Scoring + IOC-Scanner für Arch Linux AUR-Pakete" description = "Trust-Scoring + IOC-Scanner für Arch Linux AUR-Pakete"
README.md
+86 -19
View File
@@ -1,43 +1,110 @@
# AegisAUR 👻 # AegisAUR v2.0.0 👻
**Trust-Scoring + IOC-Scanner für Arch Linux AUR-Pakete** **Vollständiger AUR Security Scanner für Arch Linux**
Automatisierter Schutz gegen Supply-Chain-Angriffe wie **Atomic Arch**. Schutz gegen Supply-Chain-Angriffe, Malware und kompromittierte Pakete im AUR.
## ⚡ Schnellstart ## ⚡ Schnellstart
```bash ```bash
# Tarball herunterladen (Git-Clone hat fehlende Dateien!) # Download (Tarball — Git-Clone hat bekannte Probleme mit großen Dateien)
wget https://gitea.die-heimatlosen.eu/arch_agent/aegisaur/archive/master.tar.gz wget https://gitea.die-heimatlosen.eu/arch_agent/aegisaur/archive/main.tar.gz
tar xzf master.tar.gz && cd aegisaur tar xzf main.tar.gz && cd aegisaur
cargo build --release cargo build --release
sudo cp target/release/aegisaur /usr/local/bin/ sudo cp target/release/aegisaur /usr/local/bin/
sudo aegisaur install-hook sudo aegisaur install-hook
``` ```
## Features ## 🎯 Features v2.0.0
- 🔍 **Live IOC-Abfrage** — Holt aktuelle Threat-Intelligence ### Multi-Source Threat Intelligence
- 🛡️ **Trust-Scoring** — Analysiert PKGBUILDs auf verdächtige Muster - **HedgeDoc (Live)**: Sofort aktuell
- **ALPM-Hook** — Automatischer Pre-Install-Scan - **CISA KEV**: US Government Advisories
- 📊 **JSON-Output** — Für Automatisierung - **Arch Security**: Offizielle Arch Linux Advisories
- 🔴 **Kritische Alerts** — Sofortige Warnung bei IOC-Matches - **Atomic Arch Gist**: Community-Listen
## Befehle ### Erweiterte Erkennung
- **12 Threat-Typen**: Rootkit, Cryptominer, Backdoor, Ransomware, Infostealer, etc.
- **AUR-Spezifisch**: Typosquatting, Orphan-Takeover, Maintainer-Kompromittierung
- **CVE-Tracking**: Verknüpfung mit bekannten CVEs
- **Advisory-URLs**: Direkte Links zu Security-Advisories
### Smartes Scoring
- **AUR vs. Offizielles Repo**: Keine False-Positives für Repo-Pakete
- **Trust-Scoring**: 0-100 mit 12 Heuristiken
- **Cache**: 5-Minuten-TTL für maximale Aktualität
### Cache-Status (v2.0.1+)
```bash
aegisaur check-ioc
🛡️ Prüfe IOC-Listen: all
📦 1931 IOCs aus Cache (Alter: 2m 30s / TTL: 5m) ← Cache-Hit
⚠️ Bedrohungen gefunden: 1
🔴 gtkimageview - MaliciousBuildScript
```
Cache-Miss zeigt Live-Reload:
```
⏰ Cache veraltet (6m 15s alt) — Live-Reload...
🟢 1931 IOCs von HedgeDoc (LIVE)
🟢 0 IOCs von Arch Security
📊 Gesamt: 1931 IOCs aus Quellen: ["hedgedoc_live", "arch_security"]
```
## 🚀 Befehle
```bash ```bash
aegisaur scan <paket> # Einzelnes Paket scannen aegisaur scan <paket> # Einzelnes Paket (AUR-spezifisch)
aegisaur scan-all # Alle AUR-Pakete scannen aegisaur scan-all # Alle AUR-Pakete
aegisaur check-ioc # IOC-Listen prüfen aegisaur check-ioc # IOC-Listen prüfen
sudo aegisaur install-hook # ALPM-Hook installieren sudo aegisaur install-hook # ALPM-Hook installieren
sudo aegisaur remove-hook # ALPM-Hook entfernen sudo aegisaur remove-hook # ALPM-Hook entfernen
``` ```
## Links ## 🔧 Hook-Verhalten
- **Gitea:** https://gitea.die-heimatlosen.eu/arch_agent/aegisaur | Paket-Typ | IOC erkannt | Aktion |
- **Docs:** Siehe INSTALL.md, USAGE.md, TODO.md |-----------|-------------|--------|
| **AUR** | Ja | Alert + Details |
| **Offizielles Repo** | Nein | Keine IOC-Warnung |
## Lizenz ## 📦 Installation
Siehe INSTALL.md für Details.
## 📖 Verwendung
Siehe USAGE.md für vollständige Befehlsreferenz.
## 🗺️ Roadmap
Siehe TODO.md für geplante Features.
## 📜 Changelog
### v2.0.0 (2026-06-15)
- Vollständiger Rewrite mit Multi-Source IOCs
- CVE und Advisory-URL Support
- AUR-spezifische Erkennung (keine False-Positives)
- 5-Minuten Cache-TTL
- 12 Threat-Typen
### v0.1.0 (2026-06-15)
- Initial Release
- Grundlegende IOC-Abfrage
- Trust-Scoring
- ALPM-Hook
## 👤 Credits
Built with ❤️ (and some 👻 magic) by Quasi & Thuumate
## 📜 Lizenz
MIT — © 2026 Quasi & Thuumate 👻 MIT — © 2026 Quasi & Thuumate 👻
## 🔗 Links
- Repository: https://gitea.die-heimatlosen.eu/arch_agent/aegisaur
- Releases: https://gitea.die-heimatlosen.eu/arch_agent/aegisaur/releases
- Issues: https://gitea.die-heimatlosen.eu/arch_agent/aegisaur/issues
READMEEOF
View File
src/hook.rs
+177
View File
@@ -5,6 +5,9 @@ use tracing::{info, warn};
const ALPM_HOOK_PATH: &str = "/usr/share/libalpm/hooks/aegisaur-pre-install.hook"; const ALPM_HOOK_PATH: &str = "/usr/share/libalpm/hooks/aegisaur-pre-install.hook";
const HOOK_SCRIPT_PATH: &str = "/usr/share/libalpm/hooks/aegisaur-check.sh"; const HOOK_SCRIPT_PATH: &str = "/usr/share/libalpm/hooks/aegisaur-check.sh";
const SYSTEMD_SERVICE_PATH: &str = "/etc/systemd/system/aegisaur-scan.service";
const SYSTEMD_TIMER_PATH: &str = "/etc/systemd/system/aegisaur-scan.timer";
const SYSTEMD_SCRIPT_PATH: &str = "/usr/local/bin/aegisaur-scan-daily";
/// Installiert den ALPM-Hook für Pre-Install-Checks /// Installiert den ALPM-Hook für Pre-Install-Checks
pub fn install_alpm_hook() -> Result<()> { pub fn install_alpm_hook() -> Result<()> {
@@ -145,3 +148,177 @@ pub fn remove_alpm_hook() -> Result<()> {
pub fn is_hook_installed() -> bool { pub fn is_hook_installed() -> bool {
Path::new(ALPM_HOOK_PATH).exists() && Path::new(HOOK_SCRIPT_PATH).exists() Path::new(ALPM_HOOK_PATH).exists() && Path::new(HOOK_SCRIPT_PATH).exists()
} }
/// Installiert den Systemd-Timer für tägliche AUR-Scans
pub fn install_systemd_timer() -> Result<()> {
// Service-Datei: Führt aegisaur aus
let service_content = r#"[Unit]
Description=AegisAUR Daily AUR Security Scan
After=network-online.target
Wants=network-online.target
[Service]
Type=oneshot
ExecStart=/usr/local/bin/aegisaur-scan-daily
StandardOutput=journal
StandardError=journal
[Install]
WantedBy=multi-user.target
"#;
// Timer-Datei: Täglich um 03:00 Uhr
let timer_content = r#"[Unit]
Description=AegisAUR Daily Scan Timer
[Timer]
OnCalendar=daily
Persistent=true
RandomizedDelaySec=3600
Unit=aegisaur-scan.service
[Install]
WantedBy=timers.target
"#;
// Wrapper-Script: Führt scan-all aus und loggt Ergebnisse
let script_content = r#"#!/bin/bash
# AegisAUR Daily Scan Script
# Wird vom systemd-timer aufgerufen
set -e
TIMESTAMP=$(date '+%Y-%m-%d %H:%M:%S')
AUR_SCANNER="/usr/bin/aegisaur"
if [[ ! -x "$AUR_SCANNER" ]]; then
echo "[$TIMESTAMP] AegisAUR nicht gefunden unter $AUR_SCANNER"
exit 1
fi
echo "[$TIMESTAMP] Starte AegisAUR täglichen Scan..."
# Cache aktualisieren
echo "[$TIMESTAMP] Aktualisiere IOC-Cache..."
$AUR_SCANNER check-ioc >/dev/null 2>&1
# Alle AUR-Pakete scannen
echo "[$TIMESTAMP] Scanne alle AUR-Pakete..."
RESULTS=$($AUR_SCANNER scan-all 2>&1)
# Zusammenfassung loggen
THREAT_COUNT=$(echo "$RESULTS" | grep -c "IOC ERKANNT!" || true)
WARN_COUNT=$(echo "$RESULTS" | grep -c "WARNUNG" || true)
DANGER_COUNT=$(echo "$RESULTS" | grep -c "DANGEROUS" || true)
echo "[$TIMESTAMP] Scan abgeschlossen: $THREAT_COUNT IOCs, $WARN_COUNT Warnungen, $DANGER_COUNT Gefahren"
if [[ $THREAT_COUNT -gt 0 ]] || [[ $DANGER_COUNT -gt 0 ]]; then
echo "[$TIMESTAMP] KRITISCHE BEDROHUNGEN GEFUNDEN:"
echo "$RESULTS" | grep -E "🔴|🚨|DANGEROUS|IOC" || true
# Optional: Desktop-Benachrichtigung
if command -v notify-send >/dev/null 2>&1; then
notify-send -u critical "AegisAUR Alert" "$THREAT_COUNT IOC(s) und $DANGER_COUNT Gefahr(en) in AUR-Paketen gefunden!"
fi
fi
echo "[$TIMESTAMP] Täglicher Scan abgeschlossen."
"#;
// Service-Datei schreiben
info!("Schreibe Systemd Service: {}", SYSTEMD_SERVICE_PATH);
let mut service_file = std::fs::File::create(SYSTEMD_SERVICE_PATH)
.context("Konnte Systemd Service nicht erstellen (Root-Rechte nötig)")?;
service_file.write_all(service_content.as_bytes())?;
// Timer-Datei schreiben
info!("Schreibe Systemd Timer: {}", SYSTEMD_TIMER_PATH);
let mut timer_file = std::fs::File::create(SYSTEMD_TIMER_PATH)
.context("Konnte Systemd Timer nicht erstellen")?;
timer_file.write_all(timer_content.as_bytes())?;
// Script schreiben
info!("Schreibe Daily-Scan Script: {}", SYSTEMD_SCRIPT_PATH);
let mut script_file = std::fs::File::create(SYSTEMD_SCRIPT_PATH)
.context("Konnte Scan-Script nicht erstellen")?;
script_file.write_all(script_content.as_bytes())?;
// Script executable machen
#[cfg(unix)]
{
use std::os::unix::fs::PermissionsExt;
let mut perms = std::fs::metadata(SYSTEMD_SCRIPT_PATH)?.permissions();
perms.set_mode(0o755);
std::fs::set_permissions(SYSTEMD_SCRIPT_PATH, perms)?;
}
// Systemd neu laden und Timer starten
info!("Aktiviere Systemd Timer...");
let status = std::process::Command::new("systemctl")
.args(["daemon-reload"])
.status()
.context("systemctl daemon-reload fehlgeschlagen")?;
if !status.success() {
anyhow::bail!("systemctl daemon-reload fehlgeschlagen");
}
let status = std::process::Command::new("systemctl")
.args(["enable", "--now", "aegisaur-scan.timer"])
.status()
.context("systemctl enable fehlgeschlagen")?;
if !status.success() {
anyhow::bail!("Konnte Timer nicht aktivieren");
}
info!("Systemd Timer erfolgreich installiert und aktiviert");
Ok(())
}
/// Entfernt den Systemd-Timer
pub fn remove_systemd_timer() -> Result<()> {
info!("Entferne Systemd Timer...");
// Timer stoppen und deaktivieren
let _ = std::process::Command::new("systemctl")
.args(["stop", "aegisaur-scan.timer"])
.status();
let _ = std::process::Command::new("systemctl")
.args(["disable", "aegisaur-scan.timer"])
.status();
// Dateien löschen
if Path::new(SYSTEMD_SERVICE_PATH).exists() {
std::fs::remove_file(SYSTEMD_SERVICE_PATH)
.context("Konnte Service-Datei nicht löschen")?;
info!("Service entfernt: {}", SYSTEMD_SERVICE_PATH);
}
if Path::new(SYSTEMD_TIMER_PATH).exists() {
std::fs::remove_file(SYSTEMD_TIMER_PATH)
.context("Konnte Timer-Datei nicht löschen")?;
info!("Timer entfernt: {}", SYSTEMD_TIMER_PATH);
}
if Path::new(SYSTEMD_SCRIPT_PATH).exists() {
std::fs::remove_file(SYSTEMD_SCRIPT_PATH)
.context("Konnte Script nicht löschen")?;
info!("Script entfernt: {}", SYSTEMD_SCRIPT_PATH);
}
// Systemd neu laden
let _ = std::process::Command::new("systemctl")
.args(["daemon-reload"])
.status();
info!("Systemd Timer erfolgreich entfernt");
Ok(())
}
/// Prüft ob Timer installiert ist
pub fn is_timer_installed() -> bool {
Path::new(SYSTEMD_TIMER_PATH).exists() && Path::new(SYSTEMD_SERVICE_PATH).exists()
}
src/ioc_fetcher.rs
+23 -1
View File
@@ -122,6 +122,21 @@ impl IocFetcher {
}) })
} }
pub fn clone(&self) -> Self {
// reqwest::Client implementiert nicht Clone, also neu erstellen
let client = reqwest::Client::builder()
.timeout(Duration::from_secs(30))
.user_agent("AegisAUR/2.0 - Parallel")
.build()
.expect("HTTP Client fehlgeschlagen");
IocFetcher {
client,
cache_dir: self.cache_dir.clone(),
cache_ttl: self.cache_ttl,
}
}
/// Holt ALLE IOC-Quellen mit Fallback-Chain /// Holt ALLE IOC-Quellen mit Fallback-Chain
pub async fn fetch_all_iocs(&self) -> Result<Vec<IocEntry>> { pub async fn fetch_all_iocs(&self) -> Result<Vec<IocEntry>> {
let mut all_threats = Vec::new(); let mut all_threats = Vec::new();
@@ -201,8 +216,15 @@ impl IocFetcher {
let content = fs::read_to_string(&cache_file).await?; let content = fs::read_to_string(&cache_file).await?;
let iocs: Vec<IocEntry> = serde_json::from_str(&content) let iocs: Vec<IocEntry> = serde_json::from_str(&content)
.context("Konnte Cache nicht parsen")?; .context("Konnte Cache nicht parsen")?;
debug!("{} IOCs aus Cache geladen (Alter: {}s)", iocs.len(), age.num_seconds());
let age_minutes = age.num_seconds() / 60;
let age_seconds = age.num_seconds() % 60;
println!("📦 {} IOCs aus Cache (Alter: {}m {}s / TTL: 5m)", iocs.len(), age_minutes, age_seconds);
return Ok(iocs); return Ok(iocs);
} else {
println!("⏰ Cache veraltet ({}m {}s alt) — Live-Reload...", age.num_seconds() / 60, age.num_seconds() % 60);
} }
} }
src/main.rs
+22 -1
View File
@@ -60,6 +60,10 @@ enum Commands {
InstallHook, InstallHook,
/// Entfernt ALPM-Hook /// Entfernt ALPM-Hook
RemoveHook, RemoveHook,
/// Installiert Systemd-Timer für tägliche Scans
InstallTimer,
/// Entfernt Systemd-Timer
RemoveTimer,
/// Zeigt Cache-Status /// Zeigt Cache-Status
Cache, Cache,
} }
@@ -67,8 +71,15 @@ enum Commands {
#[tokio::main] #[tokio::main]
async fn main() -> Result<()> { async fn main() -> Result<()> {
// Logging initialisieren // Logging initialisieren
// WICHTIG: Logs werden nur bei direkten Befehlen (nicht im Hook) angezeigt
if std::env::var("RUST_LOG").is_err() {
std::env::set_var("RUST_LOG", "info");
}
tracing_subscriber::fmt() tracing_subscriber::fmt()
.with_env_filter("aegisaur=info") .with_env_filter(tracing_subscriber::EnvFilter::from_default_env())
.with_target(false)
.with_thread_ids(false)
.with_level(true)
.init(); .init();
let cli = Cli::parse(); let cli = Cli::parse();
@@ -122,6 +133,16 @@ async fn main() -> Result<()> {
hook::remove_alpm_hook()?; hook::remove_alpm_hook()?;
println!("{}", "❌ ALPM-Hook entfernt".yellow().bold()); println!("{}", "❌ ALPM-Hook entfernt".yellow().bold());
} }
Commands::InstallTimer => {
hook::install_systemd_timer()?;
println!("{}", "✅ Systemd-Timer installiert".green().bold());
println!(" Timer läuft täglich um 03:00 Uhr");
println!(" Logs: journalctl -u aegisaur-scan.timer");
}
Commands::RemoveTimer => {
hook::remove_systemd_timer()?;
println!("{}", "❌ Systemd-Timer entfernt".yellow().bold());
}
Commands::Cache => { Commands::Cache => {
scanner.show_cache_status().await?; scanner.show_cache_status().await?;
} }
src/scanner.rs
+150 -49
View File
@@ -83,20 +83,40 @@ impl PackageScanner {
}) })
} }
pub fn clone_for_parallel(&self) -> Self {
// Für parallele Verarbeitung teilen wir den Cache
PackageScanner {
config: self.config.clone(),
ioc_fetcher: self.ioc_fetcher.clone(),
trust_scorer: TrustScorer::new().expect("TrustScorer init"),
cache_dir: self.cache_dir.clone(),
whitelist: self.whitelist.clone(),
}
}
pub async fn scan_package( pub async fn scan_package(
&self, &self,
package: &str, package: &str,
verbose: bool, verbose: bool,
) -> Result<ScanResult> {
let iocs = self.ioc_fetcher.get_cached_iocs().await?;
self.scan_package_with_iocs(package, verbose, &iocs).await
}
pub async fn scan_package_with_iocs(
&self,
package: &str,
verbose: bool,
iocs: &[IocEntry],
) -> Result<ScanResult> { ) -> Result<ScanResult> {
info!("Scanne Paket: {}", package); info!("Scanne Paket: {}", package);
// Prüfe ob Paket in offiziellem Repo oder AUR // Prüfe ob Paket in offiziellem Repo oder AUR
let is_aur = self.is_aur_package(package).await; let is_aur = self.is_aur_package(package).await;
let iocs = self.ioc_fetcher.get_cached_iocs().await?;
let ioc_matches = if is_aur { let ioc_matches = if is_aur {
// Nur für AUR-Pakete IOCs prüfen // Nur für AUR-Pakete IOCs prüfen
self.ioc_fetcher.check_package(package, &iocs) self.ioc_fetcher.check_package(package, iocs)
} else { } else {
// Für offizielle Repo-Pakete: keine IOC-Warnungen // Für offizielle Repo-Pakete: keine IOC-Warnungen
vec![] vec![]
@@ -108,20 +128,27 @@ impl PackageScanner {
None None
}; };
let pkgbuild_analysis = if let Some(ref info) = aur_info { // PKGBUILD-Analyse nur bei verbose oder wenn IOC-Match vorliegt
if let Some(url) = &info.url_path { let needs_pkgbuild = verbose || !ioc_matches.is_empty();
match self.fetch_pkgbuild(package, url).await {
Ok(content) => { let pkgbuild_analysis = if needs_pkgbuild {
let score = self.trust_scorer.analyze_pkgbuild( if let Some(ref info) = aur_info {
&content, if let Some(url) = &info.url_path {
info.url.as_deref(), match self.fetch_pkgbuild(package, url).await {
); Ok(content) => {
Some((score, Some(content))) let score = self.trust_scorer.analyze_pkgbuild(
} &content,
Err(e) => { info.url.as_deref(),
warn!("Konnte PKGBUILD nicht holen: {}", e); );
None Some((score, Some(content)))
}
Err(e) => {
warn!("Konnte PKGBUILD nicht holen: {}", e);
None
}
} }
} else {
None
} }
} else { } else {
None None
@@ -166,6 +193,41 @@ impl PackageScanner {
pkgbuild_raw: if verbose { pkgbuild_raw } else { None }, pkgbuild_raw: if verbose { pkgbuild_raw } else { None },
}), }),
} }
} else if is_aur {
// AUR-Paket ohne PKGBUILD-Analyse: Score aus AUR-Info
let aur_score = Self::calculate_aur_score_from_info(aur_info.as_ref());
let ioc_strings: Vec<String> = ioc_matches
.iter()
.map(|ioc| format!("{}: {} ({})", ioc.threat_type, ioc.description, ioc.confidence))
.collect();
let status = Self::calculate_status(aur_score, !ioc_matches.is_empty(), false);
let mut warnings = ioc_strings.clone();
if aur_info.as_ref().and_then(|i| i.maintainer.as_ref()).map(|m| m == "orphan").unwrap_or(true) {
warnings.push("⚠️ Orphaned Paket — kein aktiver Maintainer".to_string());
}
ScanResult {
package: package.to_string(),
version: aur_info.as_ref().and_then(|i| Some(i.version.clone())).unwrap_or_default(),
score: aur_score,
max_score: 100,
status,
warnings,
critical_findings: vec![],
ioc_matches: ioc_strings,
details: Some(ScanDetails {
source_url: aur_info.as_ref().and_then(|i| i.url.clone()),
maintainer: aur_info.as_ref().and_then(|i| i.maintainer.clone()),
votes: aur_info.as_ref().and_then(|i| Some(i.num_votes)),
popularity: aur_info.as_ref().and_then(|i| Some(i.popularity)),
last_modified: None,
out_of_date: aur_info.as_ref().map(|i| i.out_of_date.is_some()).unwrap_or(false),
is_orphaned: aur_info.as_ref().and_then(|i| i.maintainer.as_ref()).map(|m| m == "orphan").unwrap_or(true),
pkgbuild_raw: None,
}),
}
} else { } else {
let installed_info = self.get_installed_info(package).await?; let installed_info = self.get_installed_info(package).await?;
let score = self.trust_scorer.check_installed_package(&installed_info); let score = self.trust_scorer.check_installed_package(&installed_info);
@@ -200,15 +262,25 @@ impl PackageScanner {
let foreign_packages = self.get_foreign_packages().await?; let foreign_packages = self.get_foreign_packages().await?;
let mut results = Vec::with_capacity(foreign_packages.len()); let mut results = Vec::with_capacity(foreign_packages.len());
for (pkg, _) in foreign_packages { // SEQUENZIELLE SCANS mit gecachten IOCs
match self.scan_package(&pkg, verbose).await { // (Parallele Scans würden Rate-Limits bei AUR RPC triggern)
let iocs = self.ioc_fetcher.get_cached_iocs().await?;
let ioc_count = iocs.len();
info!("{} IOCs geladen, starte Scan von {} Paketen...", ioc_count, foreign_packages.len());
for (idx, (pkg, _)) in foreign_packages.iter().enumerate() {
if idx % 10 == 0 {
println!(" [{}/{}] Scanne {}...", idx + 1, foreign_packages.len(), pkg);
}
match self.scan_package_with_iocs(pkg, verbose, &iocs).await {
Ok(result) => { Ok(result) => {
results.push(result); results.push(result);
} }
Err(e) => { Err(e) => {
warn!("Fehler beim Scannen von {}: {}", pkg, e); warn!("Fehler beim Scannen von {}: {}", pkg, e);
results.push(ScanResult { results.push(ScanResult {
package: pkg, package: pkg.clone(),
version: String::new(), version: String::new(),
score: 0, score: 0,
max_score: 100, max_score: 100,
@@ -292,41 +364,27 @@ impl PackageScanner {
} }
/// Prüft ob ein Paket aus dem AUR stammt (nicht offizielles Repo) /// Prüft ob ein Paket aus dem AUR stammt (nicht offizielles Repo)
/// CACHE: Wir rufen pacman -Qm EINMAL auf und cachen alle foreign Pakete
async fn is_aur_package(&self, package: &str) -> bool { async fn is_aur_package(&self, package: &str) -> bool {
// Versuche offizielles Repo-Info zu holen // Statischer Cache für alle foreign Pakete (einmal pro scan-all Aufruf)
let official = Command::new("pacman") use std::sync::OnceLock;
.args(["-Si", package]) static FOREIGN_CACHE: OnceLock<Vec<String>> = OnceLock::new();
.output()
.await;
match official { let foreign_packages = FOREIGN_CACHE.get_or_init(|| {
Ok(output) => { // Synchrone Initialisierung (nur einmal)
if output.status.success() { let output = std::process::Command::new("pacman")
// Paket in offiziellem Repo gefunden .args(["-Qm"])
let stdout = String::from_utf8_lossy(&output.stdout); .output()
if stdout.contains("Repository : aur") || stdout.contains("Repository : AUR") { .expect("pacman -Qm fehlgeschlagen");
return true;
}
// Alle anderen Repos (core, extra, community, multilib, etc.)
return false;
}
}
Err(_) => {}
}
// Fallback: Prüfe ob es ein "foreign" Paket ist (AUR) let stdout = String::from_utf8_lossy(&output.stdout);
let foreign = Command::new("pacman") stdout.lines()
.args(["-Qm"]) .map(|line| line.split_whitespace().next().unwrap_or("").to_string())
.output() .filter(|s| !s.is_empty())
.await; .collect()
});
match foreign { foreign_packages.iter().any(|fpkg| fpkg == package)
Ok(output) => {
let stdout = String::from_utf8_lossy(&output.stdout);
stdout.lines().any(|line| line.starts_with(package))
}
Err(_) => false,
}
} }
async fn fetch_aur_info( async fn fetch_aur_info(
@@ -411,6 +469,49 @@ impl PackageScanner {
.map(|s| s.trim().to_string()) .map(|s| s.trim().to_string())
} }
fn calculate_aur_score_from_info(aur_info: Option<&AurPackageInfo>) -> u32 {
let info = match aur_info {
Some(i) => i,
None => return 50, // Keine Info = mittlerer Score
};
let mut score = 70; // Basis-Score für AUR-Pakete
// Maintainer-Status
if let Some(ref maintainer) = info.maintainer {
if maintainer == "orphan" {
score -= 20; // Orphaned = riskant
} else {
score += 10; // Aktiver Maintainer = gut
}
} else {
score -= 15; // Kein Maintainer = unbekannt
}
// Popularität
if info.popularity > 1.0 {
score += 10; // Sehr populär
} else if info.popularity > 0.1 {
score += 5; // Moderat populär
} else {
score -= 5; // Unbekannt
}
// Votes
if info.num_votes > 50 {
score += 10;
} else if info.num_votes > 10 {
score += 5;
}
// Out of Date
if info.out_of_date.is_some() {
score -= 15; // Veraltet
}
score.clamp(0, 100)
}
fn calculate_status(score: u32, has_ioc: bool, has_critical: bool) -> ScanStatus { fn calculate_status(score: u32, has_ioc: bool, has_critical: bool) -> ScanStatus {
if has_ioc { if has_ioc {
return ScanStatus::IOCDetected; return ScanStatus::IOCDetected;