Меню Закрыть

Рубрика: pypi

В PyPI появится обязательная двухфакторная аутентификация

В блоге репозитория PyPI рассказали, что все пользователи, разрабатывающие хотя бы один проект, должны будут в обязательном порядке пользоваться двухфакторной аутентификацией. Полный переход на новые правила защиты планируется совершить к концу 2023 го…

PyPI прекратит поддержку PGP-подписей из-за низкой эффективности

Разработчики PyPI рассказали о планах отказаться от PGP-подписей для пакетов, так как они не решают проблему верификации пакетов. Вместе с этим было принято решение уменьшить количество собираемых пользовательских данных. Читать далее…

PyPI из-за чрезмерной активности злоумышленников на два дня закрыл регистрацию новых пользователей и проектов

Репозиторий Python-пакетов PyPI (Python Package Index) из-за чрезмерной вредоносной активности злоумышленников на два дня приостанавливал регистрацию новых пользователей и проектов. Это произошло 20 и 21 мая из-за высокой нагрузки на сотрудников в то в…

Что нового в Python за апрель — обсуждаем в прямом эфире

Привет! В рамках Moscow Python Podcast поделимся интересными на наш взгляд новостями и апдейтами мира Python. Выпуск проведем сегодня, 5 мая в 14:00 по Москве. Обсудим поддержку trusted publisher от PyPI, менеджер пакетов от Flask, релиз urli…

В репозитории PyPI внедрили опцию публикации пакетов без привязки к паролям и токенам API

В репозитории Python-пакетов PyPI появилась возможность публиковать пакеты без сохранения на внешних системах (например, в GitHub Actions) фиксированных паролей и токенов доступа к API. Новый метод аутентификации Trusted Publishers позволит решить проб…

Исследование: в репозиториях открытого ПО присутствуют десятки тысяч вредоносных пакетов

Компании Checkmarx и Illustria провели исследование, которое показало, что в репозиториях программного обеспечения с открытым исходным кодом присутствует множество вредоносных пакетов. В экосистемах NuGet, NPM и PyPi выявили более 144 тысяч таких пакет…

В каталоге PyPI выявлены вредоносные пакеты, нацеленные на кражу криптовалюты

В каталоге PyPI исследователи обнаружили более 20 вредоносных пакетов, нацеленных на кражу криптовалюты. Пакеты маскировались под популярные библиотеки. Читать далее…

Некоторые пакеты в реестре PyPI оказались скомпрометированы из-за фишинга

Некоторые пакеты PyPI оказались скомпрометированы из-за того, что разработчики попались на фишинговые письма. Фишинговая кампания была нацелена на тех, кто занимается поддержкой пакетов Python, опубликованных в реестре PyPI. Читать далее…

Юный программист разместил шифровальщика в репозитории  PyPI «шутки ради»

Исследователи из компании Sonatype обнаружили шифровальщика в официальном репозитории PyPI. В ходе расследования выяснилось, что вредонос в репозиторий загрузил школьник, а любой пользователей пакетов оказывался жертвой вымогателя. Читать далее…