Source: Slashdot
据CSO Online的Lucian Constantin报道,Python编程语言和Python Package Index(PyPI)的官方代码库被曝光的个人GitHub访问令牌具有管理员权限已超过一年之久。此令牌属于Python软件基金会的基础设施总监,意外地被包含在一个编译的二进制文件中,作为Docker Hub上容器镜像的一部分发布。
此事件表明仅从源代码中清除访问令牌,虽然一些开发工具会自动执行,但并不足以防止潜在的安全漏洞。由于自动构建过程和开发者失误的结果,敏感凭证也可能包含在环境变量、配置文件甚至二进制工件中。
来自安全公司JFrog的研究人员在一份报告中写道:“尽管我们遇到许多类似泄露的秘密,但本案例之所以特殊,是因为难以估量如果它落入错误的手中将可能带来的后果 —— 有人可能向PyPI软件包注入恶意代码(想象将所有Python软件包替换为恶意软件包),甚至可能对Python语言本身进行操控。
。
在开发过程中不断提醒自己保护敏感信息的安全,以避免造成严重后果。
特别声明:本文及配图均为用户上传或者转载,本文仅代表作者个人观点和立场,不代表平台观点。其原创性以及文中陈述文字和内容未经本站证实,
对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本平台不作任何保证或承诺,请读者仅作参考,
并请自行核实相关内容。如发现稿件侵权,或作者不愿在本平台发布文章,请版权拥有者通知本平台处理。
Copyright Disclaimer: The copyright of contents (including texts, images, videos and audios)
posted above belong to the User who shared or the third-party website which the User shared from.
If you found your copyright have been infringed, please send a DMCA takedown notice to
info@microheadline.com
来源:https://it.slashdot.org/story/24/07/11/218242/python-github-token-leak-shows-binary-files-can-burn-developers-too?utm_source=rss1.0mainlinkanon&utm_medium=feed
https://stackoverflow.com/questions/26516388/cant-push-to-git-due-to-binary-files
https://stackoverflow.com/questions/41873421/adding-folder-to-github-shows-up-as-binary-file
