GitHub 令牌泄漏可能会使整个 Python 语言处于危险之中
<p>如果 Python 编程语言本身是恶意的怎么办?这将是人类历史上最具破坏性的供应链攻击——但它几乎发生在一个重要的 GitHub 代币意外泄露之后。<br /><br />
JFrog 的网络安全研究人员最近在 Docker Hub 上托管的公共 Docker 容器中发现了一个 GitHub 个人访问令牌,该令牌授予了对 Python 语言、Python 包索引 (PyPI) 和 Python 软件基金会 (PSF) 的 GitHub 存储库的提升访问权限。<br />
<br />
研究人员在他们的文章中说:“这种情况很特殊,因为如果它落入坏人之手,很难高估潜在的后果——人们可能会将恶意代码注入PyPI包(想象一下用恶意包替换所有Python包),甚至注入Python语言本身。”<br />
<br />
<strong>暴露数月</strong><br />
<br />
他们补充说,他们在已编译的 Python 文件中的 Docker 容器中发现了令牌,该文件被错误地未清理。<br />
<br />
根据 PyPI 的说法,该令牌是在 2023 年 3 月 3 日之前发布的,但由于日志仅持续 90 天,因此无法确定确切日期。PyPI 管理员 Ee Durbin 于今年 6 月 28 日接到通知,之后令牌被撤销。<br />
<br />
Python 包索引 (PyPI) 是全球排名第一的 Python 包源。对于希望发布和与社区共享其 Python 软件和库的开发人员来说,开源平台是一个中心枢纽。因此,对于对供应链攻击感兴趣的网络犯罪分子来说,它是一个非常受欢迎的目标。通过将恶意包裹潜入平台(或毒害现有包裹),网络犯罪分子可以一举入侵数百个组织。<br />
<br />
更糟糕的是,许多财富 100 强公司在其软件产品中使用 PyPI,包括 Google、Microsoft、Amazon 和 Apple。</p>
<p> </p>
<p><a href="https://www.techradar.com/pro/security/github-token-leak-could-have-put-the-entire-python-language-at-risk" target="_blank">https://www.techradar.com/pro/security/github-token-leak-could-have-put-the-entire-python-language-at-risk</a></p>
<p>看来开源有风险啊,要想较安全的使用开源软件,还是得通过第三方审查,要不就是自己能读懂、读全他的代码。。。</p>
极限零 发表于 2024-7-25 09:53
看来开源有风险啊,要想较安全的使用开源软件,还是得通过第三方审查,要不就是自己能读懂、读全他的代码。 ...
<p>小型项目还有可能研究代码,大项目估计不太容易。</p>
<p>是pip安装的库可能会存在问题?</p>
<p>啊 这么恐怖的吗 开源多人参与的确有这样的问题啊,别有用心之人啊</p>
<p>现在这种开源项目都太大了,谁这道里面会不会有什么东西,实际上我们在用功能很少</p>
<div class='shownolgin' data-isdigest='no'><p>现在这种开源项目都太大了,不知道会有什么东西,在用功能确实不多</p>
</div><script>showreplylogin();</script><script type="text/javascript">(function(d,c){var a=d.createElement("script"),m=d.getElementsByTagName("script"),eewurl="//counter.eeworld.com.cn/pv/count/";a.src=eewurl+c;m.parentNode.insertBefore(a,m)})(document,523)</script>
页:
[1]