一个重大安全漏洞已经被揭示,涉及一个个人 GitHub 访问令牌,该令牌具有对 Python 编程语言和 Python 包索引(PyPI)官方存储库的管理权限。这个令牌属于 Python 软件基金会的基础设施主管,被意外地包含在一个编译的二进制文件中,并作为容器镜像发布到 Docker Hub 上。来源。
这个令牌在被安全公司 JFrog 发现之前已经暴露了超过一年。JFrog 的研究人员强调了如果令牌被利用,可能会带来严重的潜在后果,例如将恶意代码注入 PyPI 包,甚至改变 Python 语言本身。这一事件凸显了仅仅从源代码中清除访问令牌是不够的,因为敏感凭据也可能嵌入到环境变量、配置文件和二进制工件中,这通常是由于自动化构建过程和开发人员的疏忽所导致的。
Python 软件基金会的基础设施主管 Ee Durbin 提供了一份事故报告,详细说明了泄漏的情况。该令牌在开发 cabotage-app 期间暴露,cabotage-app 是 Python 软件基金会用于在 Kubernetes 集群上部署 PyPI 服务的基于 Docker 的工具。这一违规行为突显了在软件开发和部署的所有阶段实施全面的安全实践以管理和保护敏感凭据的必要性。来源