العلامات الشائعة:
الافتراضية أمان DNS التحقق الرسمي تحليل قابلية الوصول أخطاء المترجم تضارب الماكرو امتدادات الويب إطار عمل تطوير كومودور 64 بياسيك 2.0 جميع العلامات

سرقة رموز PyPI عبر عمليات GitHub Actions

2025-09-20
سرقة رموز PyPI عبر عمليات GitHub Actions

استهدفت حملة هجومية حديثة سير عمل GitHub Actions لسرقة رموز نشر PyPI. قام المهاجمون بتعديل سير العمل في مستودعات مختلفة، وإرسال رموز PyPI المخزنة كأعلى أسرار GitHub إلى خوادم خارجية. وعلى الرغم من استخراج بعض الرموز، إلا أنها لم تُستخدم على PyPI. تم إلغاء جميع الرموز المتأثرة، وتم إبلاغ القائمين على المشاريع المتضررة. يوصى باستخدام ناشري GitHub Actions الموثوق بهم للحد من الهجمات المستقبلية.

اقرأ المزيد
(blog.pypi.org)
التطوير اختراق أمني

PyPI يعزز أمان الحسابات من خلال فحص النطاقات منتهية الصلاحية

2025-08-19
PyPI يعزز أمان الحسابات من خلال فحص النطاقات منتهية الصلاحية

لمنع هجمات إحياء النطاق - وهي نوع من هجمات سلسلة التوريد حيث يشتري المهاجم نطاقًا منتهية صلاحيته للاستيلاء على حسابات PyPI - يقوم PyPI الآن بالتحقق من النطاقات منتهية الصلاحية. يعزز هذا أمان الحسابات عن طريق إلغاء التحقق من عناوين البريد الإلكتروني المرتبطة بالنطاقات منتهية الصلاحية ؛ تم إلغاء التحقق من أكثر من 1800 عنوان بريد إلكتروني منذ أوائل يونيو 2025. على الرغم من أنها ليست حلًا مثاليًا ، إلا أنها تخفف بشكل كبير من متجه هجوم رئيسي. يُنصح المستخدمون بإضافة عنوان بريد إلكتروني ثانٍ تم التحقق منه لتعزيز الأمان.

اقرأ المزيد
(blog.pypi.org)
التطوير إحياء النطاق

PyPI يطلق حسابات المنظمات لتعزيز الاستدامة

2025-05-13
PyPI يطلق حسابات المنظمات لتعزيز الاستدامة

أطلق مؤشر حزم بايثون (PyPI) حسابات المنظمات لتحسين استدامة النظام الأساسي وتحسين تجربة المستخدم. تتيح هذه الميزة للفرق إنشاء حسابات ذاتية الإدارة بعناوين ويب حصرية، مما يبسط الإدارة للمشاريع الكبيرة والشركات التي تدير فرقًا فرعية وحزمًا متعددة. يمكن للمشاريع المجتمعية استخدام هذا مجانًا، بينما تتكبد المشاريع التجارية رسومًا رمزية. سيتم إعادة استثمار جميع الإيرادات في تحسين دعم PyPI وبنيته التحتية. يُعالج هذا نمو PyPI من حيث التنزيلات وعرض النطاق الترددي، ويسمح بفترات استجابة أسرع. هذه الميزة اختيارية تمامًا ولن تؤثر على المستخدمين الحاليين.

اقرأ المزيد
(blog.pypi.org)
التطوير حسابات المنظمات

حجر مشروع PyPI: سلاح جديد ضد البرامج الضارة

2025-01-05
حجر مشروع PyPI: سلاح جديد ضد البرامج الضارة

أطلق مؤشر حزم بايثون (PyPI) ميزة "حجر المشروع" لمكافحة مشكلة البرامج الضارة المستمرة. تسمح هذه الميزة لمسؤولي PyPI بتمييز المشاريع الضارة المحتملة، ومنع تثبيتها بسهولة من قبل المستخدمين، مما يقلل من الضرر. وبدلاً من الحذف الكامل، يتم إخفاء المشاريع من الفهرس البسيط، وتبقى قابلة للتعديل من قبل المالكين (ولكن ليس للنشر)، مع احتفاظ المسؤولين بالقدرة على رفع الحجر. تشمل الخطط المستقبلية أتمتة الحجر بناءً على تقارير موثوقة متعددة، مما يحسّن الكفاءة ويقلل من فترة انتشار البرامج الضارة.

اقرأ المزيد
(blog.pypi.org)
التطوير البرامج الضارة

هجوم سلسلة التوريد يستهدف Ultralytics: تحليل لحادث أمني في PyPI

2024-12-14
هجوم سلسلة التوريد يستهدف Ultralytics: تحليل لحادث أمني في PyPI

تعرض مشروع Python Ultralytics مؤخرًا لهجوم سلسلة توريد. قام المُهاجمون باختراق سير عمل GitHub Actions الخاصة بالمشروع وسرقة رمز API الخاص بـ PyPI، مما أدى إلى تلويث الإصدارات 8.3.41 و 8.3.42 و 8.3.45 و 8.3.46. لم يستغل الهجوم ثغرة أمنية في PyPI، بل استهدف ذاكرة التخزين المؤقت لـ GitHub Actions. استخدم PyPI النشر الموثوق وسجلات الشفافية Sigstore لتحديد وإزالة البرامج الضارة بسرعة. سلط الحادث الضوء على أوجه القصور في تكوين رموز API وبيئات GitHub. تؤكد المقالة على أهمية تأمين منصات البرمجيات وسير عمل البناء/النشر، وتقدم توصيات أمنية للمطورين: استخدام الناشرين الموثوقين، وقفل التبعيات، وتجنب الأنماط غير الآمنة، وتمكين المصادقة متعددة العوامل.

اقرأ المزيد
(blog.pypi.org)
التطوير هجوم سلسلة التوريد أمن PyPI أمن البرمجيات