Mărește / Atacurile din lanțul de aprovizionare, cum ar fi cea mai recentă descoperire PyPI, inserează cod rău intenționat în pachetele software aparent funcționale utilizate de dezvoltatori. Ele devin din ce în ce mai comune. (credit: Getty Images)
PyPI, un depozit vital pentru dezvoltatorii open source, a oprit temporar crearea de noi proiecte și înregistrarea de noi utilizatori în urma unui aval de încărcări de pachete care au executat cod rău intenționat pe orice dispozitiv care le-a instalat. Zece ore mai târziu, a ridicat suspendarea.
Prescurtare pentru Python Package Index, PyPI este sursa de bază pentru aplicații și biblioteci de cod scrise în limbajul de programare Python. Corporațiile Fortune 500 și dezvoltatorii independenți se bazează deopotrivă pe depozit pentru a obține cele mai recente versiuni de cod necesare pentru a-și rula proiectele. Miercuri, puțin după ora 19.00 PT, site-ul a început să afișeze un mesaj banner care informa vizitatorii că site-ul suspendă temporar crearea de noi proiecte și înregistrarea de noi utilizatori. Mesajul nu a explicat de ce și nu a oferit o estimare a momentului în care suspendarea va fi ridicată.
Captură de ecran care arată notificarea de suspendare temporară. (credit: Checkmarx)
Aproximativ 10 ore mai târziu, PyPI a restabilit crearea de noi proiecte și înregistrarea de noi utilizatori. Încă o dată, site-ul nu a oferit niciun motiv pentru oprirea de 10 ore.
Comentarii recente