The Python Package Index Blog
·
供应链攻击分析:Ultralytics
💡
原文英文,约1400词,阅读约需5分钟。
📝
内容提要
上周,Python项目“ultralytics”遭遇供应链攻击,攻击者利用GitHub Actions和PyPI API令牌进行攻击,受影响版本已被移除。此事件凸显了保护开源项目构建和发布流程的重要性。PyPI正在加强安全措施,建议开发者提升工作流安全性,使用受信发布者,并实施双重身份验证等最佳实践。
🎯
关键要点
- Python项目'ultralytics'遭遇供应链攻击,攻击者利用GitHub Actions和PyPI API令牌进行攻击。
- 受影响的版本已被移除,事件凸显了保护开源项目构建和发布流程的重要性。
- PyPI正在加强安全措施,建议开发者提升工作流安全性,使用受信发布者。
- 攻击过程中,PyPI能够审计攻击,显示出其在安全性方面的优势。
- 攻击者利用未撤销的PyPI API令牌进行第二轮恶意发布,显示出API令牌管理的重要性。
- PyPI可以通过撤销不再使用的API令牌来提高安全性。
- 建议使用GitHub环境来增强安全性,但PyPI未能警告用户相关配置问题。
- PyPI工作人员和志愿者努力移除恶意软件,但由于开放性,滥用情况仍然较高。
- 开发者应审计现有工作流,避免使用不安全的模式,锁定依赖项版本。
- 建议使用受信发布者,避免贡献者提交二进制或不透明文件。
- 强烈建议使用双重身份验证和密码管理器,避免密码重用。
- 如果项目被攻击,应删除已知的恶意版本并通知PyPI,旋转所有长期密钥。
- 感谢赞助商支持Python和PyPI的安全工作。
❓
延伸问答
ultralytics项目遭遇了什么类型的攻击?
ultralytics项目遭遇了供应链攻击,攻击者利用GitHub Actions和PyPI API令牌进行攻击。
PyPI在此次攻击中采取了哪些安全措施?
PyPI能够审计攻击过程,并努力移除恶意软件,同时加强安全措施,建议开发者使用受信发布者和双重身份验证。
开发者如何提高其工作流的安全性?
开发者应审计现有工作流,避免不安全模式,使用受信发布者,并实施双重身份验证和密码管理器。
此次攻击对开源项目的影响是什么?
此次攻击凸显了保护开源项目构建和发布流程的重要性,尤其是API令牌管理的必要性。
如果我的项目被攻击,我应该怎么做?
应删除已知的恶意版本,通知PyPI,并旋转所有长期密钥。
PyPI如何处理恶意软件?
PyPI工作人员和志愿者努力移除恶意软件,但由于开放性,滥用情况仍然较高。
➡️
