Repozitorij PyPI (Python Package Index) paketov Python ponuja možnost uporabe nove varne metode za objavo paketov, ki vam omogoča, da se izognete shranjevanju fiksnih gesel in žetonov za dostop do API-ja v zunanjih sistemih (na primer v GitHub Actions). Nova metoda preverjanja pristnosti se imenuje 'Trusted Publishers' in je namenjena reševanju problema objavljanja zlonamernih posodobitev, ki se izvajajo kot posledica ogrožanja zunanjih sistemov in vnaprej določenih gesel ali žetonov, ki padejo v roke napadalcem.
Nova metoda preverjanja pristnosti temelji na standardu OpenID Connect (OIDC), ki uporablja časovno omejene žetone za preverjanje pristnosti, izmenjane med zunanjimi storitvami in imenikom PyPI, za potrditev operacije objave paketa, namesto uporabe tradicionalnih prijav/gesel ali ročno ustvarjenega trajnega dostopa API žetoni. Možnost uporabe mehanizma zaupanja vrednih založnikov je že implementirana za obdelovalce, zagnane v GitHub Actions. Podpora Trusted Publishers za druge zunanje storitve naj bi bila uvedena v prihodnosti.
Vzdrževalci lahko nastavijo zaupanje na strani PyPI za identifikatorje, posredovane zunanjim ponudnikom OpenID (IdP, OpenID Connect Identity Provider), ki jih bo zunanja storitev uporabila za zahtevanje kratkotrajnih žetonov od PyPI. Ustvarjeni žetoni OpenID Connect preverjajo razmerje med projektom in obdelovalcem, kar PyPI omogoča dodatno preverjanje metapodatkov, na primer preverjanje, ali je objavljeni paket povezan z določenim repozitorijem. Žetoni niso shranjeni, vezani so na določene API-je in samodejno potečejo po kratki življenjski dobi.
Poleg tega si lahko ogledate poročilo Sonatype z informacijami o identifikaciji 2023 zlonamernih paketov v katalogu PyPI marca 6933. Skupno je od leta 2019 število zlonamernih paketov, identificiranih v PyPI, preseglo 115 tisoč. Večina zlonamernih paketov je preoblečenih v priljubljene knjižnice z uporabo typosquattinga (dodeljevanje podobnih imen, ki se razlikujejo v posameznih znakih, na primer exampl namesto example, djangoo namesto django, pyhton namesto python itd.) – napadalci se zanašajo na nepazljive uporabnike, ki so naredili tipkarsko napako ali kdo je pri iskanju opazil razlike v imenu. Zlonamerna dejanja se običajno zmanjšajo na pošiljanje zaupnih podatkov, najdenih v lokalnem sistemu kot rezultat identifikacije tipičnih datotek z gesli, dostopnimi ključi, kripto denarnicami, žetoni, sejnimi piškotki in drugimi zaupnimi informacijami.
Vir: opennet.ru