tutoriales de programación | grupocodesi.com

Ataque a las dependencias de PyPi, de Python

Ataque a las dependencias de PyPi, de Python

El ataque de confusión de dependencias de PyPi montado a través del repositorio de PyPi, basado en Python, que expone un comportamiento defectuoso del instalador de paquetes. El comportamiento predeterminado de pip, el instalador del paquete Python, deja al proceso de desarrollo de software vulnerable a los ataques de confusión de dependencia, según ha descubierto un proveedor de software.

El uso de la nueva técnica de ataque a la cadena de suministro se ha detectado en estado salvaje solo una semana después de que su arquitecto lo divulgara. El comportamiento inseguro de Pip destaca un problema importante en la forma en que el código se comparte y reutiliza a través del administrador de paquetes de nodos [NPM], PyPi y otros repositorios en línea.

Por esa razón y muchas otras más no menos importantes, es que te recomendamos este curso de python profesional, el cual lo imparten de manera presencial o en linea, con instructores expertos en este lenguaje de programación.

Ataques de la cadena de suministro de software

Ataques de la cadena de suministro de software

El ataque salió a la luz el 16 de febrero cuando un desarrollador del especialista en pruebas de software automatizado informó sobre la misteriosa falla de una tubería de compilación al buscar bibliotecas internas. Luego, la compañía rastreó el problema hasta los paquetes sospechosos en el repositorio del índice de paquetes de Python (PyPi).

Con la ayuda del equipo de seguridad de Python, estos paquetes se bloquearon al día siguiente (17 de febrero) para evitar que se infiltraran en más compilaciones. También se registró los dominios desde los que supuestamente se registraron los paquetes en sí mismos para evitar que el creador de las bibliotecas deshonestas abusara de ellos para falsificar correos electrónicos.

necesitas una pagina web

Confusión de dependencia: una amenaza creciente

Como se informó la semana pasada, protegiendo el desarrollo en Python, el investigador de seguridad Alex Birsan diseñó e implementó con éxito la técnica de "confusión de dependencia" en más de 35 organizaciones, incluidas Apple, Microsoft y PayPal.

Como lo describió Alex, el ataque de confusión de dependencias aprovecha los scripts de compilación mal configurados y los errores puntuales de los desarrolladores para extraer la biblioteca maliciosa del repositorio público y no la biblioteca real de uso privado.

El paquete lanzado públicamente contiene un código malicioso que se llama e incluso permite la ejecución remota de código. La superficie de ataque para tales ataques es enorme, dada la forma rutinaria de que las dependencias de PyPi públicas y privadas se incorporan al código fuente de las aplicaciones. Aunque comúnmente se considera que Python es seguro, vale la pena estar al tanto de los reportes de seguridad, pues esto nos permite estar al día. Como resultado, el desarrollo se hará en un entorno seguro.

Ahora bien, estos índices de paquetes están en constante crecimiento en su papel como vector de ataque contra las empresas, buscando la progresión de las técnicas de "typosquatting" a "vectores de ataque más avanzados". Esto enfatiza el uso de estándares de seguridad adecuados para evitar ataques a los desarrollos escritos en Python.

Al final de cuentas, los desarrollos siempre tendrán ataques maliciosos. Pero la seguridad del entorno a usar es responsabilidad del usuario final, y en el caso de los programadores, también la responsabilidad recae en ellos. Por eso, para lograr el entorno más seguro, es importante instalar los parches de seguridad más actuales.

Articulos Relacionados a la tecnología Java

Seguridad de Java Java para Android Applets Java Juegos en Java Web Services Java Servidor Java Java 8 Fundamentos de Java 8 Java 3D Curso de Java

Articulos Relacionados a la tecnología Python

Algunas diferencias entre Java y Python Introducción a los lenguajes de programación: Python Fundamentos de la comunidad de desarrolladores de Python Algunas ventajas y desventajas de Python Python o Java, cuál debes elegir Arreglos en Python Clases en Python Importancia de Python Python para Android Pydroid 3 Tutorial Entorno Virtual en Python Fundamentos de Python Caracteristicas de Python Compatibilidad de python con versiones anteriores Importancia de escribir codigo limpio en python Probar Aplicaciones de Python en nevegadores Python para Proyecto de la NASA Funciones dañinas de un malware escritas en Python Recuperar archivos cifrados por un malware escrito en Python Ofuscar codigo escrito en Python Ejecutar aplicacion en python Compiladores de Python Actualización de Visual Studio Code para Python de septiembre de 2020 Python 3.8.6 ahora está disponible en Python Insider Secuencias de comandos de Python en Azure Cloud Shell El lenguaje de programación Python Optimiacion en Python Instalación de múltiples versiones de Python Mypy: escritura estática opcional para Python IDE, integraciones de Linter de Mypy para Python Extension Mypy para python Propósito y pautas de PEP de Python Flujo de trabajo PEP para Python Enviar un PEP para mejorar Python revisar un PEP en Python Bienvenido a Python 3 Cambiar a Python 3 5 Librerias de Python Utilidades Interesantes de Python Aprendizaje profundo con Python R contra Python dependencias de pypi Back-end y front-end en Python Bibliotecas Python Redes Neuronales en Python Big data con Python Como funciona pypi de python Seguridad de pypi en python

Diseño Web Grupo Codesi