ప్రోహోస్టర్ > బ్లాగ్ > ఇంటర్నెట్ వార్తలు > PyPI పాస్‌వర్డ్‌లు మరియు API టోకెన్‌లతో ముడిపడి ఉండకుండా ప్యాకేజీలను ప్రచురించగల సామర్థ్యాన్ని అమలు చేస్తుంది

PyPI పాస్‌వర్డ్‌లు మరియు API టోకెన్‌లతో ముడిపడి ఉండకుండా ప్యాకేజీలను ప్రచురించగల సామర్థ్యాన్ని అమలు చేస్తుంది

PyPI (Python Package Index) పైథాన్ ప్యాకేజీ రిపోజిటరీ ప్యాకేజీలను ప్రచురించడం కోసం కొత్త సురక్షిత పద్ధతిని ఉపయోగించగల సామర్థ్యాన్ని అందిస్తుంది, ఇది స్థిర పాస్‌వర్డ్‌లు మరియు API యాక్సెస్ టోకెన్‌లను బాహ్య సిస్టమ్‌లలో నిల్వ చేయవలసిన అవసరాన్ని తొలగిస్తుంది (ఉదాహరణకు, GitHub చర్యలలో). కొత్త ప్రామాణీకరణ పద్ధతిని 'విశ్వసనీయ ప్రచురణకర్తలు' అని పిలుస్తారు మరియు బాహ్య సిస్టమ్‌లు రాజీపడటం మరియు ముందే నిర్వచించబడిన పాస్‌వర్డ్‌లు లేదా టోకెన్‌లు తప్పు చేతుల్లోకి వెళ్లడం వల్ల వచ్చే హానికరమైన నవీకరణలను ప్రచురించే సమస్యను పరిష్కరించడానికి రూపొందించబడింది.

కొత్త ప్రామాణీకరణ పద్ధతి OpenID Connect (OIDC) ప్రమాణంపై ఆధారపడి ఉంటుంది, ఇది సాంప్రదాయ లాగిన్‌ని ఉపయోగించకుండా, ప్యాకేజీని ప్రచురించే ఆపరేషన్‌ని నిర్ధారించడానికి బాహ్య సేవలు మరియు PyPI డైరెక్టరీ మధ్య మార్పిడి చేయబడిన సమయ-పరిమిత ప్రమాణీకరణ టోకెన్‌ల వినియోగాన్ని కలిగి ఉంటుంది. /పాస్‌వర్డ్ లేదా మాన్యువల్‌గా రూపొందించబడిన నిరంతర API యాక్సెస్ టోకెన్‌లు. GitHub చర్యలలో ప్రారంభించబడిన హ్యాండ్లర్‌ల కోసం "విశ్వసనీయ ప్రచురణకర్తలు" మెకానిజంను ఉపయోగించగల సామర్థ్యం ఇప్పటికే అమలు చేయబడింది. భవిష్యత్తులో ఇతర బాహ్య సేవల కోసం విశ్వసనీయ ప్రచురణకర్తల కోసం మద్దతు కూడా ఆశించబడుతుంది.

PyPI నుండి నాన్-లివింగ్ టోకెన్‌లను అభ్యర్థించడానికి బాహ్య సేవ ఉపయోగించే బాహ్య OpenID ప్రొవైడర్‌లకు (IdP, OpenID కనెక్ట్ ఐడెంటిటీ ప్రొవైడర్) PyPI సైడ్ ట్రస్ట్ ఐడెంటిఫైయర్‌లను ప్యాకేజీ నిర్వాహకులు అందించగలరు. రూపొందించబడిన OpenID Connect టోకెన్‌లు ప్రాజెక్ట్ మరియు హ్యాండ్లర్ మధ్య సంబంధాన్ని నిర్ధారిస్తాయి, ఇది PyPIని అదనపు మెటాడేటా ధృవీకరణను నిర్వహించడానికి అనుమతిస్తుంది, ప్రచురించిన ప్యాకేజీ నిర్దిష్ట రిపోజిటరీతో అనుబంధించబడిందని ధృవీకరించడం వంటివి. టోకెన్‌లు నిరంతరాయంగా ఉంటాయి, నిర్దిష్ట APIలతో ముడిపడి ఉంటాయి మరియు స్వల్ప జీవితకాలం తర్వాత స్వయంచాలకంగా గడువు ముగుస్తాయి.

అదనంగా, మార్చి 2023లో PyPI కేటలాగ్‌లో 6933 హానికరమైన ప్యాకేజీల గుర్తింపు గురించి సమాచారంతో Sonatype నివేదికను మేము గమనించవచ్చు. మొత్తంగా, 2019 నుండి, PyPIలో గుర్తించబడిన హానికరమైన ప్యాకేజీల సంఖ్య 115 మించిపోయింది. చాలా హానికరమైన ప్యాకేజీలు టైప్‌క్వాటింగ్‌ని ఉపయోగించి ప్రసిద్ధ లైబ్రరీల వలె మారువేషంలో ఉంటాయి (కొన్ని అక్షరాలలో విభిన్నమైన సారూప్య పేర్లను కేటాయించడం, ఉదాహరణకు, ఉదాహరణకి బదులుగా ఉదాహరణ, జాంగోకు బదులుగా జంగూ, పైథాన్‌కు బదులుగా పైటన్ మొదలైనవి) — దాడి చేసేవారు అజాగ్రత్తగా తయారు చేసిన వినియోగదారులపై ఆధారపడతారు. శోధన సమయంలో పేరులో తేడాలను గుర్తించిన అక్షర దోషం లేదా కాదు. హానికరమైన చర్యలు సాధారణంగా పాస్‌వర్డ్‌లు, యాక్సెస్ కీలు, క్రిప్టో వాలెట్‌లు, టోకెన్‌లు, సెషన్ కుక్కీలు మరియు ఇతర రహస్య సమాచారంతో సాధారణ ఫైల్‌లను నిర్వచించడం వల్ల స్థానిక సిస్టమ్‌లో కనిపించే గోప్యమైన డేటాను పంపడం జరుగుతుంది.

మూలం: opennet.ru

ఒక వ్యాఖ్యను జోడించండి