PyPI (Python Package Index) spremište Python paketa pruža mogućnost upotrebe nove bezbedne metode za objavljivanje paketa, što vam omogućava da izbegnete skladištenje fiksnih lozinki i API pristupnih tokena na spoljnim sistemima (na primer, u GitHub Actions). Nova metoda provjere autentičnosti naziva se 'Trusted Publishers' i dizajnirana je da riješi problem objavljivanja zlonamjernih ažuriranja koja se izvode kao rezultat kompromitiranja vanjskih sistema i unaprijed definiranih lozinki ili tokena koji padaju u ruke napadača.
Nova metoda provjere autentičnosti zasnovana je na OpenID Connect (OIDC) standardu, koji koristi vremenski ograničene tokene za autentifikaciju razmjenu između vanjskih usluga i PyPI direktorija za provjeru valjanosti operacije objavljivanja paketa, umjesto korištenja tradicionalnih prijava/lozinki ili ručno generiranog trajnog pristupa API-ju tokens. Mogućnost korištenja mehanizma Trusted Publishers je već implementirana za rukovaoce pokrenute u GitHub Actions. Očekuje se da će podrška pouzdanih izdavača za druge eksterne usluge biti implementirana u budućnosti.
Održavači mogu postaviti povjerenje na PyPI strani za identifikatore koji se daju vanjskim OpenID provajderima (IdP, OpenID Connect Identity Provider), koje će eksterna usluga koristiti za traženje kratkotrajnih tokena od PyPI-ja. Generirani OpenID Connect tokeni provjeravaju odnos između projekta i rukovatelja, što omogućava PyPI-ju da izvrši dodatnu verifikaciju metapodataka, kao što je provjera da je objavljeni paket povezan sa određenim spremištem. Tokeni se ne pohranjuju, vezani su za određene API-je i automatski ističu nakon kratkog vijeka trajanja.
Dodatno, možete zabilježiti izvještaj od Sonatype sa informacijama o identifikaciji 2023 zlonamjernih paketa u PyPI katalogu u martu 6933. Ukupno, od 2019. godine, broj zlonamjernih paketa identificiranih u PyPI-u premašio je 115 hiljada. Većina zlonamjernih paketa je prerušena u popularne biblioteke pomoću tipskanja (dodjela sličnih imena koja se razlikuju po pojedinačnim znakovima, na primjer, exampl umjesto primjera, djangoo umjesto django, pyhton umjesto python, itd.) - napadači se oslanjaju na nepažljive korisnike koji su napravili greška u kucanju ili ko je uočio razlike u nazivu prilikom pretraživanja. Zlonamjerne radnje se obično svode na slanje povjerljivih podataka pronađenih na lokalnom sistemu kao rezultat identifikacije tipičnih datoteka s lozinkama, pristupnim ključevima, kripto novčanicima, tokenima, kolačićima sesije i drugim povjerljivim informacijama.
izvor: opennet.ru
