"Мысли Майкла Кеннеди о технологиях": Безопасность цепочки поставок Python стала проще

Хакеры пытались внедрить вредоносный код в машины, используя уязвимости в программном обеспечении с открытым исходным кодом, что также может затронуть пользователей библиотек или приложений. Недавно было несколько серьезных проблем безопасности PyPI, включая скомпрометированные выпуски пакетов и поддельные пакеты, предназначенные для кражи токенов доступа к облаку. Одним из примеров является пакет ultralytics, который был скомпрометирован и содержал код, загружающий майнер криптовалюты. Другим примером является кампания поддельных пакетов, которые украли токены доступа к облаку, с более чем 14 100 загрузками до удаления. Чтобы предотвратить такие проблемы, официальную технологию сканирования пакетов Python, pip-audit, можно интегрировать в непрерывную интеграцию и модульные тесты. Pip-audit проверяет официальный список уязвимостей PyPA и может запускаться в командной строке или настраиваться как GitHub Action. Его также можно добавить в зависимости разработки проекта или установить глобально, а также создать модульный тест для запуска pip-audit и сбоя при обнаружении проблемы. Добавив задержку при обновлении зависимостей, разработчики могут снизить риск установки вредоносных пакетов, поскольку проблемы часто сообщаются и решаются в течение нескольких дней. Этого можно достичь, используя возможность uv откладывать обновление зависимостей, например, исключая более новые пакеты на определенный период времени. Объединив pip-audit с задержкой при обновлении зависимостей, разработчики могут добавить дополнительный уровень безопасности в свой рабочий процесс и снизить риск установки вредоносных пакетов. В целом, интеграция pip-audit и добавление задержки при обновлении зависимостей может помочь предотвратить установку вредоносных пакетов и снизить риск проблем безопасности.