サプライチェーン攻撃の一種であるドメイン復活攻撃(攻撃者が期限切れドメインを購入してPyPIアカウントを乗っ取る攻撃)を防ぐため、PyPIは期限切れドメインをチェックするようになりました。これは、期限切れドメインに関連付けられたメールアドレスの検証を解除することでアカウントセキュリティを強化します。2025年6月上旬以降、1800件以上のメールアドレスの検証が解除されました。完全な解決策ではありませんが、主要な攻撃ベクトルを大幅に軽減します。セキュリティ強化のため、ユーザーは2つ目の検証済みメールアドレスを追加することをお勧めします。
続きを読む
Pythonパッケージインデックス(PyPI)は、プラットフォームの持続可能性とユーザーエクスペリエンスを向上させるため、組織アカウントを導入しました。この機能により、チームは独自のWebアドレスを持つ自己管理アカウントを作成でき、複数のサブチームとパッケージを管理する大規模なプロジェクトや企業にとって管理が簡素化されます。コミュニティプロジェクトは無料で利用でき、企業プロジェクトは少額の料金が発生します。すべての収益は、PyPIのサポートとインフラストラクチャの改善に再投資されます。これは、ダウンロード数と帯域幅の増加に対応し、より迅速な対応時間を可能にします。この機能は完全にオプションであり、既存のユーザーには影響しません。
続きを読む
Python パッケージインデックス (PyPI) は、マルウェアという永続的な問題に対処するため、「プロジェクト隔離」機能を導入しました。この機能により、PyPI管理者は潜在的に有害なプロジェクトにフラグを立て、ユーザーによる容易なインストールを防ぎ、被害を軽減できます。プロジェクトを完全に削除するのではなく、シンプルなインデックスから非表示にし、所有者はプロジェクトの修正を続けられます(ただし、リリースはできません)。管理者はいつでも隔離を解除できます。将来の計画には、複数の信頼できるレポートに基づいて隔離を自動化し、効率性を向上させ、マルウェアの拡散機会を縮小することが含まれます。
続きを読む
PythonプロジェクトUltralyticsは最近、サプライチェーン攻撃を受けました。攻撃者はプロジェクトのGitHub Actionsワークフローを侵害し、PyPI APIトークンを盗み、バージョン8.3.41、8.3.42、8.3.45、8.3.46が汚染されました。この攻撃はPyPIの脆弱性を悪用したものではなく、GitHub Actionsキャッシュを標的にしました。PyPIは、信頼できる公開とSigstore透明性ログを利用して、悪意のあるソフトウェアを迅速に特定し、削除しました。このインシデントは、APIトークンとGitHub環境設定の欠陥を浮き彫りにしました。この記事では、ソフトウェアフォージとビルド/公開ワークフローのセキュリティ確保の重要性を強調し、開発者向けにセキュリティに関する推奨事項(信頼できるパブリッシャーの使用、依存関係のロック、安全でないパターンの回避、多要素認証の有効化など)を提供しています。
続きを読む