The Python Package Index Blog
·
事件报告:GitHub个人访问令牌泄露
💡
原文英文,约900词,阅读约需4分钟。
📝
内容提要
2024年6月28日,Python软件基金会收到了一份关于泄露的GitHub个人访问令牌的报告。令牌已撤销,未发现恶意活动。开发人员在本地文件中添加了访问令牌以解决GitHub API速率限制问题。提醒设置API令牌过期日期,将.pyc文件视为源代码。
🎯
关键要点
- 2024年6月28日,Python软件基金会收到关于泄露的GitHub个人访问令牌的报告,令牌已撤销,未发现恶意活动。
- 开发人员在本地文件中添加访问令牌以解决GitHub API速率限制问题,未考虑到.pyc文件的安全性。
- 在本地开发cabotage-app时,因懒惰而将访问令牌硬编码到代码中,未打算推送到远程。
- 应用程序在共享卷上运行,导致包含本地未提交更改的.pyc文件泄露了访问令牌。
- 为防止未来泄露,cabotage-app现在完全自托管,构建不再使用公共注册表。
- 开发者已撤销唯一的GitHub访问令牌,并将避免未来创建,确保令牌有到期日期。
- 提醒设置API令牌的到期日期,将.pyc文件视为源代码,并在自动化系统上从干净源代码进行构建。
- 感谢JFrog团队发现并报告此泄露,强调社区合作对提高开源安全的重要性。
🏷️
标签
➡️
