Python包索引面临安全危机与验证泄漏

安全研究人员在Python社区的官方第三方包管理系统PyPI上发现了3938个独特的秘密，涉及所有项目，其中768个被验证为真实的。

值得注意的是，2922个项目至少包含一个独特的秘密。泄露的机密包括各种凭证，包括AWS密钥、Redis凭证、谷歌API密钥和各种数据库凭证。

这项由Python开发者Tom Forbes在GitGuardian上发布的研究强调了此类泄露的潜在后果，强调有效凭证是网络攻击的主要载体。

Python包索引(Python Package Index)拥有超过45万个项目，在软件供应链中扮演着至关重要的角色，估计占生产环境中运行代码的90%。福布斯表示，这项研究强调了加强安全措施的必要性，因为在开源软件包中意外包含了秘密。据报道，随着时间的推移，这个问题稳步增加。

该博客文章还揭示了泄露机密类型的趋势，有效的Telegram bot令牌、谷歌API密钥泄露和2022年泄露的数据库凭据激增都有显著增加。数据显示，凭证泄露已成为2023年数据泄露的主要原因。

此外，该研究揭示了暴露方法，表明大多数秘密都是意外泄露的。

福布斯写道:“就像把私人回购变成公共回购太容易了一样，只需要几个错误的按键，就可以把一个内部使用的软件包推向公众。在这个项目的推广过程中，我们发现至少有15起事件是出版商不知道他们已经公开了他们的项目。”

因此，福布斯强调了大公司无意中公开其项目的事件，强调需要提高意识和预防措施。

暴露开源包中的秘密对开发人员和用户都有很大的风险。攻击者可以利用这些信息获得未经授权的访问，冒充软件包维护者或通过社会工程策略操纵用户。

为了解决这些问题，研究人员推荐了一些策略，如避免未加密的凭据、实现自动秘密扫描和利用云秘密管理器。