pypi

软件包存储库正在成为供应链攻击的热门目标。最近，有关于恶意软件攻击 npm、PyPI 和 RubyGems 等流行存储库的消息。开发人员盲目地信任存储库并从这些来源安装软件包，假设它们是安全的。有时允许将恶意软件包上传到包存储库，使恶意行为者有机会使用存储库分发病毒并对管道中的开发人员和 CI/CD 机器发起成功的攻......

研究人员周四表示，从 PyPI 开源存储库下载的开源软件包估计有 30,000 次包含恶意代码，这些恶意代码会暗中窃取信用卡数据和登录凭据，并在受感染的机器上注入恶意代码。在一篇帖子中，安全公司 JFrog 的研究人员 Andrey Polkovnichenko、Omer Kaspi 和 Shachar Menash......

Python Infrastructure的状态页面 - PYPI不可用。

GitHub和Python包索引（PYPI）正在协作，以帮助保护您免受泄露的PYPI API标记。 从今天开始，GitHub将为公共存储库扫描到公开的PYPI API标记。 我们将转发任何向Pypi找到的令牌，谁将自动禁用它们并通知其所有者。 端到端的过程只需几秒钟即可。 PYPI只是最新的GitHub秘密扫描积......

大约一年前，Python软件基金会(Python Software Foundation)发起了一项信息请求(RFI)，讨论如何检测上传到PyPI的恶意包。无论是接管被遗弃的包，还是在流行的库上拼字，还是使用凭据填充劫持包，这显然是一个影响到几乎每个包管理器的真正问题。 事实是，像PyPI这样的包管理器是几乎所有公司......