Die PyPI (Python Package Index)-bewaarplek van Python-pakkette bied die vermoë om 'n nuwe veilige metode vir die publisering van pakkette te gebruik, wat jou toelaat om te verhoed dat vaste wagwoorde en API-toegangtokens op eksterne stelsels gestoor word (byvoorbeeld in GitHub Actions). Die nuwe verifikasiemetode word 'Trusted Publishers' genoem en is ontwerp om die probleem van die publisering van kwaadwillige opdaterings op te los wat uitgevoer word as gevolg van die kompromie van eksterne stelsels en voorafbepaalde wagwoorde of tekens wat in die hande van aanvallers val.
Die nuwe verifikasiemetode is gebaseer op die OpenID Connect (OIDC)-standaard, wat tydsbeperkte verifikasietokens gebruik wat tussen eksterne dienste en die PyPI-gids uitgeruil word om die pakketpubliseringsbewerking te valideer, in plaas daarvan om tradisionele login/wagwoorde of handgegenereerde aanhoudende API-toegang te gebruik. tekens. Die vermoë om die Trusted Publishers-meganisme te gebruik, is reeds geïmplementeer vir hanteerders wat in GitHub Actions bekendgestel is. Trusted Publishers-ondersteuning vir ander eksterne dienste sal na verwagting in die toekoms geïmplementeer word.
Onderhouers kan vertroue aan die PyPI-kant stel vir identifiseerders wat aan eksterne OpenID-verskaffers verskaf word (IdP, OpenID Connect Identity Provider), wat die eksterne diens sal gebruik om kortstondige tokens van PyPI aan te vra. Die gegenereerde OpenID Connect-tokens verifieer die verhouding tussen die projek en die hanteerder, wat PyPI toelaat om bykomende metadata-verifikasie uit te voer, soos om te verifieer dat die gepubliseerde pakket met 'n spesifieke bewaarplek geassosieer word. Tokens word nie gestoor nie, is gekoppel aan spesifieke API's en verval outomaties na 'n kort leeftyd.
Boonop kan u let op die verslag van Sonatype met inligting oor die identifikasie van 2023 kwaadwillige pakkette in die PyPI-katalogus in Maart 6933. In totaal, sedert 2019, het die aantal kwaadwillige pakkette wat in PyPI geïdentifiseer is, 115 duisend oorskry. Die meeste kwaadwillige pakkette word vermom as gewilde biblioteke deur gebruik te maak van tiposquatting (wat soortgelyke name toeken wat in individuele karakters verskil, byvoorbeeld, voorbeeld in plaas van byvoorbeeld, djangoo in plaas van django, pyhton in plaas van python, ens.) - aanvallers maak staat op onoplettende gebruikers wat 'n tikfout of wat verskille in die naam opgemerk het tydens soek. Kwaadwillige optrede kom gewoonlik neer op die stuur van vertroulike data wat op die plaaslike stelsel gevind word as gevolg van die identifisering van tipiese lêers met wagwoorde, toegangsleutels, kripto-beursies, tokens, sessiekoekies en ander vertroulike inligting.
Bron: opennet.ru