El dipòsit de paquets de Python PyPI (índex de paquets Python) ofereix la possibilitat d'utilitzar un nou mètode segur per publicar paquets, que elimina la necessitat d'emmagatzemar contrasenyes fixes i testimonis d'accés a l'API en sistemes externs (per exemple, a GitHub Actions). El nou mètode d'autenticació s'anomena 'Trusted Publishers' i està dissenyat per resoldre el problema de publicar actualitzacions malicioses que es duen a terme com a conseqüència de comprometre sistemes externs i caure en mans equivocades de contrasenyes o testimonis predefinits.
El nou mètode d'autenticació es basa en l'estàndard OpenID Connect (OIDC), que implica l'ús de testimonis d'autenticació de temps limitat que s'intercanvien entre serveis externs i el directori PyPI per confirmar el funcionament de la publicació d'un paquet, en lloc d'utilitzar un inici de sessió tradicional. /contrasenya o testimonis d'accés a l'API persistents generats manualment. La capacitat d'utilitzar el mecanisme "Editors de confiança" ja està implementada per als controladors llançats a GitHub Actions. També s'espera suport per a editors de confiança per a altres serveis externs en el futur.
Els mantenedors de paquets poden, al costat de PyPI, confiar en els identificadors proporcionats a proveïdors externs d'OpenID (IdP, OpenID Connect Identity Provider), que el servei extern utilitzarà per sol·licitar testimonis no vius de PyPI. Els testimonis OpenID Connect generats confirmen la relació entre el projecte i el gestor, cosa que permet a PyPI realitzar una verificació de metadades addicionals, com ara verificar que el paquet publicat està associat a un repositori específic. Els testimonis no són persistents, estan vinculats a API específiques i caduquen automàticament després d'una curta vida.
A més, podem destacar l'informe de l'empresa Sonatype amb informació sobre la detecció de 2023 paquets maliciosos al catàleg PyPI el març de 6933. En total, des del 2019, el nombre de paquets maliciosos detectats a PyPI ha superat els 115. La majoria de paquets maliciosos es disfressen com a biblioteques populars amb typesquatting (assignant noms similars que difereixen en determinats caràcters, per exemple, exampl en lloc d'exemple, djangoo en lloc de django, pyhton en lloc de python, etc.) — els atacants confien en usuaris poc atents que han fet una errada ortogràfica o no que va notar diferències en el nom durant la cerca. Les accions malicioses solen reduir-se a l'enviament de dades confidencials que es troben al sistema local com a resultat de la definició de fitxers típics amb contrasenyes, claus d'accés, moneders criptogràfics, fitxes, galetes de sessió i altra informació confidencial.
Font: opennet.ru