人気のタグ:
仮想化 DNSセキュリティ 形式的検証 到達可能性解析 C言語 コンパイラエラー マクロの衝突 Web拡張機能 開発フレームワーク コモドール64 すべてのタグ

PyPIのプロジェクト隔離:マルウェア対策の新兵器

2025-01-05

Python パッケージインデックス (PyPI) は、マルウェアという永続的な問題に対処するため、「プロジェクト隔離」機能を導入しました。この機能により、PyPI管理者は潜在的に有害なプロジェクトにフラグを立て、ユーザーによる容易なインストールを防ぎ、被害を軽減できます。プロジェクトを完全に削除するのではなく、シンプルなインデックスから非表示にし、所有者はプロジェクトの修正を続けられます(ただし、リリースはできません)。管理者はいつでも隔離を解除できます。将来の計画には、複数の信頼できるレポートに基づいて隔離を自動化し、効率性を向上させ、マルウェアの拡散機会を縮小することが含まれます。

続きを読む
(blog.pypi.org)
開発

Ultralyticsへのサプライチェーン攻撃:PyPIセキュリティインシデント分析

2024-12-14

PythonプロジェクトUltralyticsは最近、サプライチェーン攻撃を受けました。攻撃者はプロジェクトのGitHub Actionsワークフローを侵害し、PyPI APIトークンを盗み、バージョン8.3.41、8.3.42、8.3.45、8.3.46が汚染されました。この攻撃はPyPIの脆弱性を悪用したものではなく、GitHub Actionsキャッシュを標的にしました。PyPIは、信頼できる公開とSigstore透明性ログを利用して、悪意のあるソフトウェアを迅速に特定し、削除しました。このインシデントは、APIトークンとGitHub環境設定の欠陥を浮き彫りにしました。この記事では、ソフトウェアフォージとビルド/公開ワークフローのセキュリティ確保の重要性を強調し、開発者向けにセキュリティに関する推奨事項(信頼できるパブリッシャーの使用、依存関係のロック、安全でないパターンの回避、多要素認証の有効化など)を提供しています。

続きを読む
(blog.pypi.org)
開発 サプライチェーン攻撃 PyPIセキュリティ ソフトウェアセキュリティ