[讨论] GitHub 令牌泄漏可能会使整个 Python 语言处于危险之中

如果 Python 编程语言本身是恶意的怎么办？这将是人类历史上最具破坏性的供应链攻击——但它几乎发生在一个重要的 GitHub 代币意外泄露之后。

JFrog 的网络安全研究人员最近在 Docker Hub 上托管的公共 Docker 容器中发现了一个 GitHub 个人访问令牌，该令牌授予了对 Python 语言、Python 包索引 （PyPI） 和 Python 软件基金会 （PSF） 的 GitHub 存储库的提升访问权限。

研究人员在他们的文章中说：“这种情况很特殊，因为如果它落入坏人之手，很难高估潜在的后果——人们可能会将恶意代码注入PyPI包（想象一下用恶意包替换所有Python包），甚至注入Python语言本身。”

暴露数月

他们补充说，他们在已编译的 Python 文件中的 Docker 容器中发现了令牌，该文件被错误地未清理。

根据 PyPI 的说法，该令牌是在 2023 年 3 月 3 日之前发布的，但由于日志仅持续 90 天，因此无法确定确切日期。PyPI 管理员 Ee Durbin 于今年 6 月 28 日接到通知，之后令牌被撤销。

Python 包索引 （PyPI） 是全球排名第一的 Python 包源。对于希望发布和与社区共享其 Python 软件和库的开发人员来说，开源平台是一个中心枢纽。因此，对于对供应链攻击感兴趣的网络犯罪分子来说，它是一个非常受欢迎的目标。通过将恶意包裹潜入平台（或毒害现有包裹），网络犯罪分子可以一举入侵数百个组织。

更糟糕的是，许多财富 100 强公司在其软件产品中使用 PyPI，包括 Google、Microsoft、Amazon 和 Apple。

https://www.techradar.com/pro/security/github-token-leak-could-have-put-the-entire-python-language-at-risk

看来开源有风险啊，要想较安全的使用开源软件，还是得通过第三方审查，要不就是自己能读懂、读全他的代码。。。

小型项目还有可能研究代码，大项目估计不太容易。

是pip安装的库可能会存在问题？

啊 这么恐怖的吗 开源多人参与的确有这样的问题啊，别有用心之人啊

现在这种开源项目都太大了，谁这道里面会不会有什么东西，实际上我们在用功能很少

现在这种开源项目都太大了，不知道会有什么东西，在用功能确实不多