Nessun risultato. Prova con un altro termine.
Guide
Notizie
Software
Tutorial

Python e sicurezza: PyPI blocca i nuovi account

PyPI (Python Package Index) blocca i nuovi account per un Weekend a causa dei troppi report di sicurezza da gestire
Python e sicurezza: PyPI blocca i nuovi account
PyPI (Python Package Index) blocca i nuovi account per un Weekend a causa dei troppi report di sicurezza da gestire
Link copiato negli appunti

I responsabili del PyPI (Python Package Index) hanno deciso di bloccare temporaneamente l'attivazione dei nuovi account e i relativi progetti per un Weekend. Tale iniziativa è arrivata in un momento in cui l'indice raccoglie più di 455 mila repository Python. Stando però a quanto dichiarato il numero di package contenenti codice malevole sarebbe aumentato notevolmente. Più di quanto i gestori del servizio siano in grado di controllare.

La crescita dei supply chain attack

PyPI sembrerebbe quindi incontrare lo stesso destino di altre piattaforme dello stesso tipo come per esempio RubyGems ed npm. Ogni volta che un indice acquisisce una certa popolarità diventa quasi automaticamente un obbiettivo per gli utenti malintenzionati. Parliamo dei cosiddetti supply chain attack, cioè le attività malevole che puntano a colpire le catene di approvvigionamento utilizzate dagli sviluppatori per l'acquisizione di moduli.

Per questa ragione, chi gestisce gli indici monitora costantemente l'inserimento dei nuovi progetti, o gli aggiornamenti di quelli già popolari, alla ricerca di eventuali minacce. Esistono package che sono vitali per il funzionamento di applicazioni molto utilizzate ma non è raro che le librerie o le dipendenze utilizzate possano essere veicolo di attacchi.

PyPI: troppi report da gestire

Nel caso di PyPI, nel corso dell'ultimo weekend il numero di report da gestire sarebbe passato dai soliti 20/30 a circa 40 al giorno. Un incremento che avrebbe motivato il blocco temporaneo citato in precedenza. Questo anche per via del fatto che l'organizzazione a capo del progetto, la Python Software Foundation, dispone di un numero limitato di admin.

Come precisato in proposito da Ee Durbin, responsabile dell'infrastruttura della PSF, gli amministratori oggi al lavoro su PyPI sarebbero già ai limiti del Burn-Out e non sarebbe giusto chiedere loro un ulteriore impegno. Si tratta inoltre di un problema che al momento riguarda buona parte della community Open Source dove chi si prende la responsabilità di un progetto è spesso esposto al superlavoro.

Ti consigliamo anche