Tags populares:
Virtualização segurança DNS verificação formal análise de alcance IA erros do compilador conflito de macro extensão web framework de desenvolvimento Gráficos de Bitmap Todos os tags

PyPI Reforça a Segurança da Conta com Verificações de Domínios Expirados

2025-08-19
PyPI Reforça a Segurança da Conta com Verificações de Domínios Expirados

Para evitar ataques de ressurreição de domínio – um tipo de ataque de cadeia de suprimentos em que um atacante compra um domínio expirado para sequestrar contas PyPI – o PyPI agora verifica domínios expirados. Isso melhora a segurança da conta ao desverificar endereços de e-mail associados a domínios expirados; mais de 1.800 endereços de e-mail foram desverificados desde o início de junho de 2025. Embora não seja uma solução perfeita, isso mitiga significativamente um importante vetor de ataque. Os usuários são aconselhados a adicionar um segundo endereço de e-mail verificado para maior segurança.

Leia mais
(blog.pypi.org)
Desenvolvimento ressurreição de domínio

PyPI lança contas de organização para maior sustentabilidade

2025-05-13
PyPI lança contas de organização para maior sustentabilidade

O Python Package Index (PyPI) introduziu contas de organização para melhorar a sustentabilidade da plataforma e a experiência do usuário. Este recurso permite que equipes criem contas autogerenciadas com endereços web exclusivos, simplificando o gerenciamento para grandes projetos e empresas que lidam com várias sub-equipes e pacotes. Projetos da comunidade podem usar isso gratuitamente, enquanto projetos corporativos incorrem em uma pequena taxa. Toda a receita será reinvestida na melhoria do suporte e da infraestrutura do PyPI. Isso aborda o crescimento do PyPI em downloads e largura de banda, e permite tempos de resposta mais rápidos. O recurso é totalmente opcional e não afetará os usuários existentes.

Leia mais
(blog.pypi.org)
Desenvolvimento Contas de Organização

Quarentena de Projetos do PyPI: Uma Nova Arma Contra Malware

2025-01-05
Quarentena de Projetos do PyPI: Uma Nova Arma Contra Malware

O Python Package Index (PyPI) introduziu um recurso de 'Quarentena de Projetos' para combater o problema persistente de malware. Esse recurso permite que os administradores do PyPI marquem projetos potencialmente prejudiciais, impedindo a instalação fácil por usuários e mitigando danos. Em vez de exclusão completa, os projetos são ocultados do índice simples, permanecendo modificáveis pelos proprietários (mas não lançáveis), com os administradores mantendo o poder de levantar a quarentena. Planos futuros incluem automatizar a quarentena com base em vários relatórios confiáveis, melhorando a eficiência e reduzindo a janela de oportunidade para a propagação de malware.

Leia mais
(blog.pypi.org)
Desenvolvimento

Ataque de cadeia de suprimentos atinge Ultralytics: Análise de incidente de segurança do PyPI

2024-12-14
Ataque de cadeia de suprimentos atinge Ultralytics: Análise de incidente de segurança do PyPI

O projeto Python Ultralytics sofreu recentemente um ataque de cadeia de suprimentos. Os atacantes comprometeram os fluxos de trabalho do GitHub Actions do projeto e roubaram um token de API do PyPI, resultando em versões contaminadas 8.3.41, 8.3.42, 8.3.45 e 8.3.46. O ataque não explorou uma vulnerabilidade do PyPI, mas sim o cache do GitHub Actions. O PyPI, utilizando Publicação Confiável e logs de transparência do Sigstore, identificou e removeu rapidamente o malware. O incidente destacou deficiências nas configurações de tokens de API e ambientes do GitHub. O artigo enfatiza a segurança de forjas de software e fluxos de trabalho de compilação/publicação, fornecendo recomendações de segurança para desenvolvedores: usar Publicações Confiáveis, bloquear dependências, evitar padrões inseguros e habilitar autenticação multifatorial.

Leia mais
(blog.pypi.org)
Desenvolvimento ataque de cadeia de suprimentos segurança do PyPI segurança de software