PyPI เพิ่มระบบ Project Archival เพื่อป้องกันการอัปเดตที่เป็นอันตราย

Python Package Index (PyPI) ได้ประกาศเปิดตัวระบบใหม่ชื่อ 'Project Archival' ซึ่งช่วยให้ผู้เผยแพร่สามารถ archive โปรเจกต์ของตนได้แบบถาวร เพื่อเป็นการแจ้งให้ผู้ใช้ทราบว่าจะไม่มีการอัปเดตเพิ่มเติม

(more…)

พบแพ็คเกจ Python ที่เป็นอันตรายจำนวนมากบน PyPI มีความเสี่ยงทำให้ผู้ใช้งานถูกขโมย AWS keys

ตรวจพบแพ็คเกจ Python ที่เป็นอันตรายจำนวนมากบน PyPI ทำการขโมยข้อมูล เช่น AWS Credential และส่งข้อมูลไปยังปลายทางที่เป็นสาธารณะซึ่งทุกคนสามารถเข้าถึงได้

PyPI เป็นคลังโปรแกรม และไลบรารีเสริมของ Python ที่เป็น Open Source สำหรับให้นักพัฒนาได้สร้างขึ้น และแบ่งปันให้ผู้อื่นโหลดมาใช้งาน โดยปกติ PyPI จะมีการตอบสนองอย่างรวดเร็วหากมีผู้ใช้งานรายงานไฟล์ที่อันตราย แต่การอัพโหลดไฟล์ขึ้นไปให้ดาวโหลดนั้นกลับไม่มีการตรวจสอบก่อน ทำให้แพ็คเกจที่เป็นอันตรายจึงอาจแฝงตัวอยู่ได้ช่วงเวลาหนึ่ง (more…)