PyPI (Python Package Index) Python paketeen biltegiak paketeak argitaratzeko metodo seguru berri bat erabiltzeko aukera eskaintzen du, eta horri esker, pasahitz finkoak eta API sarbide-tokenak kanpoko sistemetan gordetzea (adibidez, GitHub Actions-en). Autentifikazio-metodo berria 'Trusted Publishers' deitzen da eta kanpoko sistemak arriskuan jarri eta erasotzaileen eskuetan erortzen diren aurredefinitutako pasahitzak edo tokenak arriskuan jartzearen ondorioz egiten diren eguneratze gaiztoak argitaratzearen arazoa konpontzeko diseinatuta dago.
Autentifikazio-metodo berria OpenID Connect (OIDC) estandarrean oinarritzen da, zeinak kanpoko zerbitzuen eta PyPI direktorioaren artean trukatutako denbora mugatuko autentifikazio-tokenak erabiltzen ditu paketeen argitaratze-eragiketa balioztatzeko, ohiko login/pasahitz edo eskuz sortutako API sarbide iraunkorra erabili beharrean. tokens. Trusted Publishers mekanismoa erabiltzeko gaitasuna jada ezarrita dago GitHub Actions-en abiarazitako kudeatzaileentzat. Trusted Publishers-ek kanpoko beste zerbitzu batzuetarako laguntza inplementatzea espero da etorkizunean.
Mantentzaileek PyPI aldean konfiantza ezarri dezakete kanpoko OpenID hornitzaileei (IdP, OpenID Connect Identity Provider) emandako identifikatzaileei, kanpoko zerbitzuak PyPIri iraupen laburreko tokenak eskatzeko erabiliko dituena. Sortutako OpenID Connect tokenek proiektuaren eta kudeatzailearen arteko erlazioa egiaztatzen dute, eta horri esker, PyPI-k metadatuen egiaztapen osagarria egin dezake, hala nola argitaratutako paketea biltegi jakin batekin lotuta dagoela egiaztatzea. Tokenak ez dira gordetzen, API espezifikoetara lotuta daude eta automatikoki iraungitzen dira bizitza labur baten ondoren.
Gainera, Sonatype-ren txostena 2023ko martxoan PyPI katalogoan 6933 pakete gaiztoen identifikazioari buruzko informazioa jaso dezakezu. Guztira, 2019az geroztik, PyPIn identifikatutako pakete gaiztoen kopurua 115 mila gainditu da. Pakete gaizto gehienak liburutegi ezagunez mozorrotzen dira typosquatting erabiliz (karaktereetan desberdinak diren antzeko izenak esleitzea, adibidez, exampl adibidearen ordez, djangoo djangoren ordez, pyhton python ordez, etab.) idazkera akatsa edo bilatzean izenaren desberdintasunak nabaritu dituena. Ekintza gaiztoak normalean tokiko sisteman aurkitutako datu konfidentzialak bidaltzen dira, pasahitzekin, sarbide-gakoekin, kriptografia-zorroekin, tokenekin, saioko cookieekin eta beste informazio konfidentzial batekin identifikatzearen ondorioz.
Iturria: opennet.ru
