В репозитории PyPI выявлено около 5000 оставленных в коде секретов и 8 вредоносных обфускаторов

Исследователи GitGuardian опубликовали результаты анализа конфиденциальных данных, забытых разработчиками в коде, размещённом в репозитории Python-пакетов PyPI (Python Package Index). После изучения более 9.5 млн файлов и 5 млн релизов пакетов, связанных с 450 тысячами проектов, было выявлено 56866 фактов утечки конфиденциальных данных. Если учитывать только уникальные данные, без дублирования в разных релизах, число выявленных утечек составило 3938, а число проектов, в которых присутствует хотя бы одна утечка - 2922. https://www.opennet.ru/opennews/art.shtml?num=60169

November 24, 2023 · ihadtoinstalllinux

PyPI переходит на обязательную двухфакторную аутентификацию

Разработчики репозитория Python-пакетов PyPI (Python Package Index) объявили о решении перевести все учётные записи пользователей, сопровождающих хотя бы один проект или входящих в курирующие пакеты организации, на обязательное применение двухфакторной аутентификации. Перевод планируют завершить до конца 2023 года. До намеченного срока будет проведено поэтапное ограничение доступной функциональности для разработчиков, не включивших двухфакторную аутентификацию. Кроме того, для отдельных категорий пользователей требование включения двухфакторной аутентификации будет применено заранее. https://www.opennet.ru/opennews/art.shtml?num=59198

May 26, 2023 · ihadtoinstalllinux

PyPI пересмотрит политику в отношении персональных данных и прекратит поддержку PGP-подписей

Директор по инфраструктуре организации Python Software Foundation опубликовал отчёт о выполнении требований по раскрытию персональных данных пользователей репозитория PyPI (Python Package Index). В марте и апреле Министерство юстиции США направило в PyPI требования о раскрытии данных 5 пользователей, которые после консультаций с юристами были выполнены. Переданные данные включали имена, адресную информацию, списки загруженных пакетов и сведения о сеансах и IP-адресах. https://www.opennet.ru/opennews/art.shtml?num=59191

May 25, 2023 · ihadtoinstalllinux

PyPI из-за вредоносной активности приостановил регистрацию новых пользователей и проектов

Репозиторий Python-пакетов PyPI (Python Package Index) временно прекратил регистрацию новых пользователей и проектов. В качестве причины указан всплеск активности злоумышленников, наладивших публикацию пакетов с вредоносным кодом. Отмечается, что с учётом нахождения в отпуске нескольких администраторов, на прошлой неделе объём зарегистрированных вредоносных проектов превысил возможности оставшейся команды PyPI по оперативному реагированию. Разработчики планируют за выходные перестроить некоторые процессы проверки, после чего возобновить возможность регистрации в репозитории. https://www.opennet.ru/opennews/art.shtml?num=59168

May 21, 2023 · ihadtoinstalllinux

В PyPI реализована возможность публикации пакетов без привязки к паролям и токенам API

В репозитории Python-пакетов PyPI (Python Package Index) предоставлена возможность использования нового защищённого метода публикации пакетов, позволяющего обойтись без сохранения на внешних системах (например, в GitHub Actions) фиксированных паролей и токенов доступа к API. Новый метод аутентификации получил название ‘Trusted Publishers’ и призван решить проблему с публикацией вредоносных обновлений, осуществляемых в результате компрометации внешних систем и попадания в руки злоумышленников предопределённых паролей или токенов. https://www.opennet.ru/opennews/art.shtml?num=59019

April 23, 2023 · ihadtoinstalllinux