Tags populaires:
Virtualisation sécurité DNS vérification formelle analyse d'atteignabilité erreurs du compilateur conflit de macro extension web framework de développement Graphiques bitmap incohérences d'API Tous les tags

Exfiltration de jetons PyPI via workflows GitHub Actions compromis

2025-09-20
Exfiltration de jetons PyPI via workflows GitHub Actions compromis

Une récente campagne d'attaque ciblait les workflows GitHub Actions pour voler des jetons de publication PyPI. Les attaquants ont modifié les workflows dans divers référentiels, envoyant des jetons PyPI stockés comme secrets GitHub vers des serveurs externes. Bien que certains jetons aient été exfiltrés, ils n'ont pas été utilisés sur PyPI. Tous les jetons affectés ont été invalidés et les mainteneurs impactés ont été notifiés. Il est recommandé d'utiliser les Trusted Publishers de GitHub Actions pour atténuer les attaques futures.

Lire plus
(blog.pypi.org)
Développement Brèche de sécurité

PyPI renforce la sécurité des comptes grâce à la vérification des domaines expirés

2025-08-19
PyPI renforce la sécurité des comptes grâce à la vérification des domaines expirés

Pour prévenir les attaques de résurrection de domaine – un type d'attaque de chaîne d'approvisionnement où un attaquant achète un domaine expiré pour prendre le contrôle de comptes PyPI – PyPI vérifie désormais les domaines expirés. Cela améliore la sécurité des comptes en dévalidant les adresses e-mail associées aux domaines expirés ; plus de 1 800 adresses e-mail ont été dévalidées depuis début juin 2025. Bien qu'il ne s'agisse pas d'une solution parfaite, cela atténue considérablement un vecteur d'attaque majeur. Il est conseillé aux utilisateurs d'ajouter une deuxième adresse e-mail vérifiée pour une sécurité accrue.

Lire plus
(blog.pypi.org)
Développement résurrection de domaine

PyPI lance des comptes d'organisation pour une meilleure durabilité

2025-05-13
PyPI lance des comptes d'organisation pour une meilleure durabilité

L'index des paquets Python (PyPI) a introduit des comptes d'organisation pour améliorer la durabilité de la plateforme et l'expérience utilisateur. Cette fonctionnalité permet aux équipes de créer des comptes autogérés avec des adresses web exclusives, simplifiant la gestion pour les grands projets et les entreprises gérant plusieurs sous-équipes et paquets. Les projets communautaires peuvent l'utiliser gratuitement, tandis que les projets d'entreprise entraînent une faible redevance. Tous les revenus seront réinvestis dans l'amélioration du support et de l'infrastructure de PyPI. Cela répond à la croissance de PyPI en termes de téléchargements et de bande passante, et permet des temps de réponse plus rapides. La fonctionnalité est entièrement optionnelle et n'affectera pas les utilisateurs existants.

Lire plus
(blog.pypi.org)
Développement Comptes d'organisation

Quarantaine de projets PyPI : une nouvelle arme contre les logiciels malveillants

2025-01-05
Quarantaine de projets PyPI : une nouvelle arme contre les logiciels malveillants

L'index des paquets Python (PyPI) a introduit une fonctionnalité de « quarantaine de projets » pour lutter contre le problème persistant des logiciels malveillants. Cette fonctionnalité permet aux administrateurs PyPI de signaler les projets potentiellement dangereux, empêchant ainsi leur installation facile par les utilisateurs et atténuant les dommages. Au lieu d'une suppression pure et simple, les projets sont masqués de l'index simple, restant modifiables par les propriétaires (mais non publiables), les administrateurs conservant la possibilité de lever la quarantaine. Les projets futurs incluent l'automatisation de la quarantaine en fonction de plusieurs rapports crédibles, améliorant ainsi l'efficacité et réduisant la fenêtre d'opportunité pour la propagation de logiciels malveillants.

Lire plus
(blog.pypi.org)
Développement Logiciel malveillant

Attaque de la chaîne d'approvisionnement affectant Ultralytics : Analyse d'un incident de sécurité PyPI

2024-12-14
Attaque de la chaîne d'approvisionnement affectant Ultralytics : Analyse d'un incident de sécurité PyPI

Le projet Python Ultralytics a récemment subi une attaque de la chaîne d'approvisionnement. Les attaquants ont compromis les workflows GitHub Actions du projet et volé un jeton d'API PyPI, entraînant des versions contaminées : 8.3.41, 8.3.42, 8.3.45 et 8.3.46. L'attaque n'a pas exploité de faille de sécurité dans PyPI, mais ciblé le cache GitHub Actions. PyPI, utilisant la publication de confiance et les journaux de transparence Sigstore, a rapidement identifié et supprimé les logiciels malveillants. L'incident a mis en évidence des lacunes dans les configurations des jetons d'API et des environnements GitHub. L'article souligne l'importance de sécuriser les forges de logiciels et les workflows de build/publication, fournissant aux développeurs des recommandations de sécurité : utiliser des éditeurs de confiance, verrouiller les dépendances, éviter les modèles non sécurisés et activer l'authentification multifactorielle.

Lire plus
(blog.pypi.org)
Développement attaque de la chaîne d'approvisionnement sécurité PyPI sécurité logicielle