Python 隐藏漏洞通过超14.5万个软件包传播
💡
原文中文,约1400字,阅读约需4分钟。
📝
内容提要
新泽西理工学院的研究揭示了Python生态系统中的安全隐患,称为“PyPitfall”。研究指出,复杂的依赖关系导致378,573个软件包中传播已知漏洞,其中4,655个软件包必然暴露,141,044个存在潜在暴露。建议开发审计工具以提高安全意识。
🎯
关键要点
- 新泽西理工学院的研究揭示了Python生态系统中的安全隐患,称为“PyPitfall”。
- 复杂的依赖关系导致378,573个软件包中传播已知漏洞,4,655个软件包必然暴露,141,044个存在潜在暴露。
- Python的流行主要得益于PyPI托管的海量开源库,开发者常常未意识到安全隐患。
- 研究发现,依赖关系复杂,存在超过20层传递依赖和100多万个循环依赖。
- 使用Johnnydep工具模拟安装PyPI软件包,发现严重漏洞,尤其是urllib3组件。
- 核心数据包括:必然暴露平均深度4.1层,潜在暴露6.2层,检测到1,075,559个循环依赖关系。
- 建议开发审计工具以提高安全意识,并强调解决Python开源生态系统的系统性风险的紧迫性。
➡️
