行业新闻与博客

安全研究人员在 Python 社区的官方第三方包管理系统 PyPI 上的所有项目中总共发现了 3938 个独特的秘密，其中 768 个被验证为真实的。 

值得注意的是，2922 个项目至少包含一个独特的秘密。泄露的机密包括各种凭证，包括 AWS 密钥、Redis 凭证、Google API 密钥和各种数据库凭证。 

Python 开发人员 Tom Forbes 在 GitGuardian 上发表的这项研究强调了此类泄露的潜在后果，并强调有效凭证是网络攻击的主要媒介。

Python 包索引包含超过 450,000 个项目，在软件供应链中发挥着至关重要的作用，估计占生产中运行的代码的 90%。福布斯表示，这项研究强调了由于开源包中意外包含秘密而需要加强安全措施的必要性。据报道，这个问题随着时间的推移而不断增加。

该博客文章还揭示了泄露秘密类型的趋势，2022 年有效 Telegram 机器人令牌、Google API 密钥泄露以及泄露的数据库凭证数量显着增加。数据表明，泄露的凭证已成为泄露的主要原因。 2023 年。

此外，该研究还揭示了泄露方法，表明大多数秘密都是意外泄露的。 

福布斯写道：“就像将私人仓库变成公共仓库太容易一样，只需按几次错误的按键即可将供内部使用的软件包推向公共可用。”

“在该项目的推广过程中，我们发现了至少 15 起事件，其中出版商不知道他们已经公开了他们的项目。”

福布斯因此强调了大公司无意中公开其项目的事件，强调需要提高认识和采取预防措施。

“暴露开源包中的秘密会给开发者和用户带来巨大的风险。攻击者可以利用这些信息来获得未经授权的访问、冒充软件包维护者或通过社会工程策略操纵用户，”博客文章中写道。

为了解决这些问题，研究人员推荐了一些策略，例如避免未加密的凭据、实施自动秘密扫描和利用云秘密管理器。