Tags populares:
Virtualização segurança DNS verificação formal análise de alcance IA erros do compilador conflito de macro extensão web framework de desenvolvimento Gráficos de Bitmap Todos os tags

Ataque de Exfiltração de Tokens PyPI via Workflows do GitHub Actions

2025-09-20
Ataque de Exfiltração de Tokens PyPI via Workflows do GitHub Actions

Uma recente campanha de ataque visou workflows do GitHub Actions para roubar tokens de publicação PyPI. Os atacantes modificaram workflows em vários repositórios, enviando tokens PyPI armazenados como segredos do GitHub para servidores externos. Embora alguns tokens tenham sido exfiltrados, eles não foram usados no PyPI. Todos os tokens afetados foram invalidados e os mantenedores afetados foram notificados. Recomenda-se o uso dos Trusted Publishers do GitHub Actions para mitigar ataques futuros.

Leia mais
(blog.pypi.org)
Desenvolvimento Violação de Segurança

PyPI Reforça a Segurança da Conta com Verificações de Domínios Expirados

2025-08-19
PyPI Reforça a Segurança da Conta com Verificações de Domínios Expirados

Para evitar ataques de ressurreição de domínio – um tipo de ataque de cadeia de suprimentos em que um atacante compra um domínio expirado para sequestrar contas PyPI – o PyPI agora verifica domínios expirados. Isso melhora a segurança da conta ao desverificar endereços de e-mail associados a domínios expirados; mais de 1.800 endereços de e-mail foram desverificados desde o início de junho de 2025. Embora não seja uma solução perfeita, isso mitiga significativamente um importante vetor de ataque. Os usuários são aconselhados a adicionar um segundo endereço de e-mail verificado para maior segurança.

Leia mais
(blog.pypi.org)
Desenvolvimento ressurreição de domínio

PyPI lança contas de organização para maior sustentabilidade

2025-05-13
PyPI lança contas de organização para maior sustentabilidade

O Python Package Index (PyPI) introduziu contas de organização para melhorar a sustentabilidade da plataforma e a experiência do usuário. Este recurso permite que equipes criem contas autogerenciadas com endereços web exclusivos, simplificando o gerenciamento para grandes projetos e empresas que lidam com várias sub-equipes e pacotes. Projetos da comunidade podem usar isso gratuitamente, enquanto projetos corporativos incorrem em uma pequena taxa. Toda a receita será reinvestida na melhoria do suporte e da infraestrutura do PyPI. Isso aborda o crescimento do PyPI em downloads e largura de banda, e permite tempos de resposta mais rápidos. O recurso é totalmente opcional e não afetará os usuários existentes.

Leia mais
(blog.pypi.org)
Desenvolvimento Contas de Organização

Quarentena de Projetos do PyPI: Uma Nova Arma Contra Malware

2025-01-05
Quarentena de Projetos do PyPI: Uma Nova Arma Contra Malware

O Python Package Index (PyPI) introduziu um recurso de 'Quarentena de Projetos' para combater o problema persistente de malware. Esse recurso permite que os administradores do PyPI marquem projetos potencialmente prejudiciais, impedindo a instalação fácil por usuários e mitigando danos. Em vez de exclusão completa, os projetos são ocultados do índice simples, permanecendo modificáveis pelos proprietários (mas não lançáveis), com os administradores mantendo o poder de levantar a quarentena. Planos futuros incluem automatizar a quarentena com base em vários relatórios confiáveis, melhorando a eficiência e reduzindo a janela de oportunidade para a propagação de malware.

Leia mais
(blog.pypi.org)
Desenvolvimento

Ataque de cadeia de suprimentos atinge Ultralytics: Análise de incidente de segurança do PyPI

2024-12-14
Ataque de cadeia de suprimentos atinge Ultralytics: Análise de incidente de segurança do PyPI

O projeto Python Ultralytics sofreu recentemente um ataque de cadeia de suprimentos. Os atacantes comprometeram os fluxos de trabalho do GitHub Actions do projeto e roubaram um token de API do PyPI, resultando em versões contaminadas 8.3.41, 8.3.42, 8.3.45 e 8.3.46. O ataque não explorou uma vulnerabilidade do PyPI, mas sim o cache do GitHub Actions. O PyPI, utilizando Publicação Confiável e logs de transparência do Sigstore, identificou e removeu rapidamente o malware. O incidente destacou deficiências nas configurações de tokens de API e ambientes do GitHub. O artigo enfatiza a segurança de forjas de software e fluxos de trabalho de compilação/publicação, fornecendo recomendações de segurança para desenvolvedores: usar Publicações Confiáveis, bloquear dependências, evitar padrões inseguros e habilitar autenticação multifatorial.

Leia mais
(blog.pypi.org)
Desenvolvimento ataque de cadeia de suprimentos segurança do PyPI segurança de software