行業新聞與博客

安全研究人員在 Python 社區的官方第三方包管理系統 PyPI 上的所有項目中總共發現了 3938 個獨特的秘密，其中 768 個被驗證為真實的。 

值得注意的是，2922 個項目至少包含一個獨特的秘密。泄露的機密包括各種憑證，包括 AWS 密鑰、Redis 憑證、Google API 密鑰和各種數據庫憑證。 

Python 開發人員 Tom Forbes 在 GitGuardian 上發表的這項研究強調了此類泄露的潛在後果，並強調有效憑證是網絡攻擊的主要媒介。

Python 包索引包含超過 450,000 個項目，在軟件供應鏈中發揮着至關重要的作用，估計佔生產中運行的代碼的 90%。福布斯表示，這項研究強調了由於開源包中意外包含秘密而需要加強安全措施的必要性。據報道，這個問題隨着時間的推移而不斷增加。

該博客文章還揭示了泄露秘密類型的趨勢，2022 年有效 Telegram 機器人令牌、Google API 密鑰泄露以及泄露的數據庫憑證數量顯着增加。數據表明，泄露的憑證已成為泄露的主要原因。 2023 年。

此外，該研究還揭示了泄露方法，表明大多數秘密都是意外泄露的。 

福布斯寫道：“就像將私人倉庫變成公共倉庫太容易一樣，只需按幾次錯誤的按鍵即可將供內部使用的軟件包推向公共可用。”

“在該項目的推廣過程中，我們發現了至少 15 起事件，其中出版商不知道他們已經公開了他們的項目。”

福布斯因此強調了大公司無意中公開其項目的事件，強調需要提高認識和採取預防措施。

“暴露開源包中的秘密會給開發者和用户帶來巨大的風險。攻擊者可以利用這些信息來獲得未經授權的訪問、冒充軟件包維護者或通過社會工程策略操縱用户，”博客文章中寫道。

為了解決這些問題，研究人員推薦了一些策略，例如避免未加密的憑據、實施自動秘密掃描和利用雲秘密管理器。