Ultralytics遭遇供应链攻击:PyPI安全事件分析
2024-12-14
近期,Python项目Ultralytics遭受供应链攻击,攻击者入侵其GitHub Actions工作流程并窃取PyPI API令牌,导致版本8.3.41、8.3.42、8.3.45和8.3.46被污染。攻击未利用PyPI自身漏洞,而是针对GitHub Actions缓存。PyPI利用可信发布和Sigstore透明日志迅速识别并移除恶意软件,并指出API令牌和GitHub环境配置的不足。文章强调了保障软件代码库和发布流程的重要性,并为开发者提供了加强安全性的建议,包括使用可信发布者、锁定依赖项、避免使用不安全模式以及启用多因素身份验证等。
开发