PyPI 完成了首次安全审计
我们很自豪地宣布,PyPI 完成了其首次外部安全审计。这项工作由 开放技术基金 (OTF) 提供资金,以前是 PyPI 安全相关改进的支持者。
开放技术基金选择 Trail of Bits,一家在业界领先的网络安全公司,拥有丰富的开源和 Python 经验,来进行审计。Trail of Bits 投入了总计 10 个工程师周的时间,识别问题,向 PyPI 团队展示这些发现,并在我们修复这些发现时提供帮助。
范围
审计的重点是“仓库”,为 https://pypi.ac.cn 提供支持的开源代码库,以及“cabotage”,我们用来部署仓库的定制开源容器编排框架。它包括对两个代码库的代码审查,优先考虑接受用户输入、提供 API 和其他公共界面的区域。审计还涵盖了两个代码库的持续集成/持续部署 (CI/CD) 配置。
发现
总体而言,审计员确定“仓库代码库经过了充分的测试,符合安全 Python 和 Web 开发的广泛接受的最佳实践”,并且尽管“cabotage 代码库”缺乏相同的测试水平,但他们在两个代码库中都没有发现任何高严重性问题。
结果和影响
作为审计的结果,Trail of Bits 详细说明了在两个代码库中发现的 29 个不同的建议。在评估每个建议的严重性级别时,14 个被归类为“信息”,6 个为“低”,8 个为“中”和 0 个为“高”。在撰写本文时,PyPI 团队已修复了可能在两个代码库中构成重大风险的所有建议,并在必要时与第三方团队合作,以解除其他修复的阻塞。
更多详情
为了透明起见,今天我们发布了 审计的完整结果,由 Trail of Bits 准备。您可以在他们的 博客文章 中从他们的角度了解更多关于审计的信息。
此外,在今天发布的两篇额外的博客文章中,Mike Fiedler(PyPI 安全与安全工程师)详细介绍了 我们在仓库中如何修复这些发现,而 Ee Durbin(Python 软件基金会基础设施主管) 同样详细介绍了 cabotage 中的修复。
致谢
我们感谢开放技术基金持续支持 PyPI,特别是感谢他们为 Python 生态系统取得的这一重大安全里程碑。我们还要感谢 Trail of Bits 在整个过程中成为可靠、彻底和有思想的合作伙伴。