行業新聞與部落格

Python 包索引因經過驗證的洩漏而面臨安全危機

安全研究人員在 Python 社群的官方第三方包管理系統 PyPI 上的所有專案中總共發現了 3938 個獨特的秘密,其中 768 個被驗證為真實的。 

值得注意的是,2922 個專案至少包含一個獨特的秘密。洩露的機密包括各種憑證,包括 AWS 金鑰、Redis 憑證、Google API 金鑰和各種資料庫憑證。 

Python 開發人員 Tom Forbes 在 GitGuardian 上發表的這項研究強調了此類洩露的潛在後果,並強調有效憑證是網路攻擊的主要媒介。

Python 包索引包含超過 450,000 個專案,在軟體供應鏈中發揮著至關重要的作用,估計佔生產中執行的程式碼的 90%。福布斯表示,這項研究強調了由於開源包中意外包含秘密而需要加強安全措施的必要性。據報道,這個問題隨著時間的推移而不斷增加。

該部落格文章還揭示了洩露秘密型別的趨勢,2022 年有效 Telegram 機器人令牌、Google API 金鑰洩露以及洩露的資料庫憑證數量顯著增加。資料表明,洩露的憑證已成為洩露的主要原因。 2023 年。

此外,該研究還揭示了洩露方法,表明大多數秘密都是意外洩露的。 

福布斯寫道:“就像將私人倉庫變成公共倉庫太容易一樣,只需按幾次錯誤的按鍵即可將供內部使用的軟體包推向公共可用。”

“在該專案的推廣過程中,我們發現了至少 15 起事件,其中出版商不知道他們已經公開了他們的專案。”

福布斯因此強調了大公司無意中公開其專案的事件,強調需要提高認識和採取預防措施。

“暴露開源包中的秘密會給開發者和使用者帶來巨大的風險。攻擊者可以利用這些資訊來獲得未經授權的訪問、冒充軟體包維護者或透過社會工程策略操縱使用者,”部落格文章中寫道。

為了解決這些問題,研究人員推薦了一些策略,例如避免未加密的憑據、實施自動秘密掃描和利用雲秘密管理器。

需要幫助嗎?聯絡我們的支援團隊 線上客服