Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Поток Информационная безопасность доступен 24/7 благодаря поддержке друзей Хабра
Комментарии 11
Я так и не понял, в чем был смысл этой кампании и как они собирались "предотвратить возможные злоупотребления внешними библиотеками для атак"
Да, куча текста, а сути не написали
Как я понял, они создавали заглушки для библиотек, которых нет в PyPi, чтобы злоумышленники не создали эти библиотеки со встроенной малварью
Ну а свою ту безопасность как они хотели этим обеспечить?
Тем, что у них есть библиотеки а-ля vk_graph, а в PyPi её нет. И получается что если сторонний человек узнает названия внутренних библиотек, то он сможет начать атаку на цепочку поставки, зарегистрировав это название в PyPi. И какой-нибудь новый сотрудник без настроенных прокси уже скачает вредонос.
Понятное дело что проблема не так решается.
И какой-нибудь новый сотрудник без настроенных прокси уже скачает вредонос.
Новый сотрудник без настроенных прокси не должен иметь возможность выхода в интернет. Иначе он чуть позже шаловливыми ручками покопается в настройках и получит полную панамку вредоносов.
Почему ему вдруг выдали не настроеный ноут — тоже вопрос.
Потому что он работает не в топ-10 компаний, которых 0.0001%, а в одной из остальных компаний где нет серьёзной и очень затратной службы информационной безопасности.
СПроблема с pypi должна решаться администрацией pypi, но мой опыт показал что администрация некомпетентна в вопросах безопасности и решать проблему подложных библиотек не будет. До громкого провала, конечно.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
В PyPI разблокировали регистрацию с электронных адресов inbox.ru, так как это была спам-проверка от VK