tutoriales de programación | grupocodesi.com

Corrección en la seguridad de PiPy de Python

Corrección en la seguridad de PiPy de Python

Ocasionalmente se pueden presentar ataques mal intencionados contra cualquier entidad tecnológica. Esto ocurrió en días pasados, cuando se introdujeron bibliotecas malintencionada de Python, cuyo propósito era controlar equipos de forma remota.

En este contexto, a medida que se está desarrollando más software además de las bibliotecas compartidas, por ejemplo, un proyecto web rápido que solo tenía unas 100 líneas de código propio, pero más de 10 bibliotecas de NPM, esto genera un riesgo creciente para todos.

La comunidad ahora tiene que empezar a adoptar una postura más proactiva sobre 'LibSec', [la] seguridad de las bibliotecas públicas importadas, y ahora hay incluso empresas que operan en ese espacio, como Snyk.

Por esa razón y muchas otras más no menos importantes, es que te recomendamos este curso de python profesional, el cual lo imparten de manera presencial o en linea, con instructores expertos en este lenguaje de programación.

Señales de alarma

Señales de alarma

Al igual que con los paquetes NPM de Birsan, afortunadamente los paquetes PyPi, de Python, no parecían contener ningún código malicioso, lo que le dio al ecosistema de desarrollo de software una saludable llamada de atención sobre la amenaza. Los paquetes "eran bibliotecas de marcadores de posición vacías".

Para los desarrolladores fue una suerte, según dicen, encontrar este ataque que afectaba la seguridad de PiPy de Python. Parece que fue una prueba ejecutada por alguien, pero se puede ver fácilmente un escaneo automático de secuencias de comandos en busca de paquetes privados y la implementación de paquetes maliciosos públicos en estos ecosistemas como una forma de acceder a muchas empresas que no están tan despiertas en el lado de la seguridad.

Además, sel identificó tres bibliotecas falsas creadas por una cuenta PyPi, de Python, desconocida que estaban siendo utilizadas por cuatro productos: Qentinel Pace, QWeb, QVision y QMobile. Dado que pip de Python toma de forma predeterminada las bibliotecas de PyPi, se obtuvieron esas bibliotecas externas, pero no las bibliotecas reales de los repositorios privados, lo cual libero a los atacados del desastre. Por eso, los repositorios públicos recién creados no contenían su código fuente, por lo que las dependencias fallaron en la compilación.

necesitas una pagina web

Inseguro por defecto

El comportamiento inseguro de Pip se centró en el parámetro –extra-index-url, que verifica si la biblioteca existe en los índices de paquetes especificados y públicos, luego, si se encuentra más de una versión, instala el paquete con el número de versión más alto. Todo lo que tuvo que hacer el atacante de Python en PyPi fue cargar una biblioteca con un número de versión muy alto.

Este problema debe resolverse en el nivel de la tubería de construcción al actualizar el comportamiento predeterminado de pip y otras herramientas. Mientras tanto, los desarrolladores pueden mitigar el problema usando solo -index-url para especificar la dirección del repositorio personalizado del pip, recuperando así el paquete del repositorio personalizado, en lugar de público. Así se asegura la seguridad del desarrollo en Python, por lo menos por el momento

Los especialistas aconsejan a sus clientes que purguen todos los cachés en sus pipelines de compilación que puedan contener los repositorios de Python falsos y verifiquen que sus scripts de compilación estén configurados correctamente. También recomiendan que cualquier persona que haya actualizado o instalado Pace Connect entre el 15 y el 17 de febrero vuelva a instalar los paquetes. Con estos pasos, se garantiza la seguridad de PiPy de Python.

Articulos Relacionados a la tecnología Java

Seguridad de Java Java para Android Applets Java Juegos en Java Web Services Java Servidor Java Java 8 Fundamentos de Java 8 Java 3D Curso de Java

Articulos Relacionados a la tecnología Python

Algunas diferencias entre Java y Python Introducción a los lenguajes de programación: Python Fundamentos de la comunidad de desarrolladores de Python Algunas ventajas y desventajas de Python Python o Java, cuál debes elegir Arreglos en Python Clases en Python Importancia de Python Python para Android Pydroid 3 Tutorial Entorno Virtual en Python Fundamentos de Python Caracteristicas de Python Compatibilidad de python con versiones anteriores Importancia de escribir codigo limpio en python Probar Aplicaciones de Python en nevegadores Python para Proyecto de la NASA Funciones dañinas de un malware escritas en Python Recuperar archivos cifrados por un malware escrito en Python Ofuscar codigo escrito en Python Ejecutar aplicacion en python Compiladores de Python Actualización de Visual Studio Code para Python de septiembre de 2020 Python 3.8.6 ahora está disponible en Python Insider Secuencias de comandos de Python en Azure Cloud Shell El lenguaje de programación Python Optimiacion en Python Instalación de múltiples versiones de Python Mypy: escritura estática opcional para Python IDE, integraciones de Linter de Mypy para Python Extension Mypy para python Propósito y pautas de PEP de Python Flujo de trabajo PEP para Python Enviar un PEP para mejorar Python revisar un PEP en Python Bienvenido a Python 3 Cambiar a Python 3 5 Librerias de Python Utilidades Interesantes de Python Aprendizaje profundo con Python R contra Python dependencias de pypi Back-end y front-end en Python Bibliotecas Python Redes Neuronales en Python Big data con Python Como funciona pypi de python Seguridad de pypi en python

Diseño Web Grupo Codesi