为了防止域名复活攻击(一种供应链攻击,攻击者购买过期域名以接管 PyPI 帐户),PyPI 现在检查域名是否过期。此举通过取消验证与过期域名关联的电子邮件地址来增强帐户安全性,自 2025 年 6 月初以来,已取消验证超过 1800 个电子邮件地址。虽然并非完美解决方案,但这有效地堵塞了一个主要的攻击途径。建议用户添加第二个经过验证的邮箱地址以增强安全性。
阅读更多
Python 包索引 (PyPI) 推出了组织账户功能,旨在提升平台的可持续性和用户体验。该功能允许团队创建自管理的组织账户,拥有专属的网络地址,方便大型项目和公司管理多个子团队和包。社区项目可免费使用,企业项目需支付少量费用。所有收入将用于改进 PyPI 的支持和基础设施。此举旨在应对 PyPI 持续增长的下载量和带宽需求,并提高响应速度。该功能完全可选,不会影响现有用户的体验。
阅读更多
Python 包索引 (PyPI) 推出了“项目隔离”功能,以应对持续存在的恶意软件问题。该功能允许管理员将潜在有害的项目标记为隔离状态,阻止用户轻松安装,从而减少恶意软件造成的损害。该系统并非直接删除项目,而是将其从简单索引中隐藏,项目所有者仍然可以修改项目(但不能发布新版本),管理员可以随时解除隔离。未来,PyPI 计划通过自动化系统,根据多个可信报告自动隔离项目,进一步提高效率,并减少恶意软件传播的时间窗口。
阅读更多
近期,Python项目Ultralytics遭受供应链攻击,攻击者入侵其GitHub Actions工作流程并窃取PyPI API令牌,导致版本8.3.41、8.3.42、8.3.45和8.3.46被污染。攻击未利用PyPI自身漏洞,而是针对GitHub Actions缓存。PyPI利用可信发布和Sigstore透明日志迅速识别并移除恶意软件,并指出API令牌和GitHub环境配置的不足。文章强调了保障软件代码库和发布流程的重要性,并为开发者提供了加强安全性的建议,包括使用可信发布者、锁定依赖项、避免使用不安全模式以及启用多因素身份验证等。
阅读更多
Python包索引(PyPI)现在支持数字认证,以增强项目供应链的安全性。包维护者可以在发布时发布已签名的数字认证,消费者和安装程序可以使用新的API和Web界面验证这些认证。与传统的PGP签名相比,数字认证具有三个关键优势:基于身份而非密钥对进行签名,提供与上游源代码库的可验证链接,并且上传时会验证其有效性。目前,如果项目是从GitHub Actions发布,通过可信发布,并使用pypa/gh-action-pypi-publish操作进行发布,则默认情况下会生成和发布认证。
阅读更多