Python pakotņu repozitorijs PyPI (Python Package Index) nodrošina iespēju izmantot jaunu drošu pakešu publicēšanas metodi, kas ļauj izvairīties no fiksētu paroļu un API piekļuves marķieru glabāšanas ārējās sistēmās (piemēram, GitHub Actions). Jaunā autentifikācijas metode tiek saukta par “Uzticamiem izdevējiem”, un tā ir izstrādāta, lai atrisinātu problēmu, kas saistīta ar ļaunprātīgu atjauninājumu publicēšanu, kas tiek veikti ārējo sistēmu kompromitēšanas un iepriekš definētu paroļu vai marķieru nokļūšanas uzbrucēju rokās.
Jaunā autentifikācijas metode ir balstīta uz OpenID Connect (OIDC) standartu, kas izmanto ierobežotu laiku autentifikācijas marķierus, kas tiek apmainīti starp ārējiem pakalpojumiem un PyPI direktoriju, lai apstiprinātu pakotnes publicēšanas darbību, nevis izmanto tradicionālās pieteikšanās/paroles vai manuāli ģenerētu pastāvīgu API piekļuvi. žetonus. Iespēja izmantot Trusted Publishers mehānismu jau ir ieviesta apdarinātājiem, kas palaisti pakalpojumā GitHub Actions. Paredzams, ka nākotnē tiks ieviests Trusted Publishers atbalsts citiem ārējiem pakalpojumiem.
Uzturētāji PyPI pusē var iestatīt uzticību ārējiem OpenID nodrošinātājiem (IdP, OpenID Connect Identity Provider) nodrošinātajiem identifikatoriem, kurus ārējais pakalpojums izmantos, lai no PyPI pieprasītu īslaicīgus marķierus. Ģenerētie OpenID Connect marķieri pārbauda saistību starp projektu un apdarinātāju, kas ļauj PyPI veikt papildu metadatu pārbaudi, piemēram, pārbaudīt, vai publicētā pakotne ir saistīta ar konkrētu repozitoriju. Tokeni netiek saglabāti, ir piesaistīti noteiktām API un automātiski beidzas pēc neilga darbības laika.
Turklāt varat atzīmēt Sonatype ziņojumu ar informāciju par 2023 ļaunprātīgu pakotņu identificēšanu PyPI katalogā 6933. gada martā. Kopumā kopš 2019. gada PyPI identificēto kaitīgo pakotņu skaits pārsniedzis 115 tūkstošus. Lielākā daļa ļaunprātīgo pakotņu tiek maskētas kā populāras bibliotēkas, izmantojot typosquatting (piešķirot līdzīgus nosaukumus, kas atšķiras pēc atsevišķām rakstzīmēm, piemēram, exampl, nevis piemēri, djangoo, nevis django, pyhton, nevis python utt.) - uzbrucēji paļaujas uz neuzmanīgiem lietotājiem, kuri ir izveidojuši drukas kļūda vai kurš, meklējot, pamanīja atšķirības nosaukumā. Ļaunprātīgas darbības parasti ir saistītas ar konfidenciālu datu nosūtīšanu, kas atrasti vietējā sistēmā, identificējot tipiskus failus ar parolēm, piekļuves atslēgām, kriptomaki, marķieri, sesijas sīkfaili un cita konfidenciāla informācija.
Avots: opennet.ru
