文章预览
#安全资讯 事实证明所有的安全问题归根到底还是人:PyPI 管理员兼 Python 软件基金会基础设施总监 Ee Durbin 因为偷懒将 Github 令牌写在本地文件中然后上传到了 Docker 映像中。该令牌可以修改 Python 本体、PyPI 软件包以及 PSF 存储库,如果被黑客利用将会造成严重的供应链攻击,所幸发现泄露的研究人员而不是黑客。查看全文:https://ourl.co/104966 事实证明所有的安全问题归根到底还是人,比如 PyPI 管理员兼 PSF 基础设施总监 Ee Durbin 也出现了翻车,他将 Github Token 写在本地文件里然后又推送到了 Github 导致令牌泄露。 网络安全公司的研究人员 JFrog 意外发现了一个泄露的 Github 令牌,该令牌可以授予对 Python、PyPI 以及 Python 软件基金会 (PSF) 存储库的更高访问权限。 考虑到 Python 在业界的流行度和使用率,一旦这个令牌被黑客利用,那么将有可能修改软件包
………………………………
