PyPIに悪意のあるパッケージ?

https://arstechnica.com/information-technology/2017/09/devs-unknowingly-use-malicious-modules-put-into-official-python-repository/

メモ
  • Pythonで最も有名なパッケージレポジトリであるPyPIでは、現時点では、有名なパッケージに類似の悪意のあるパッケージを登録することは誰にでも出来る。パッケージ登録に事前の承認を要求せず、またコード署名の仕組み等も整っていないためインストール時に悪意のあるパッケージか否かを判断する方法は限られている。
  • 悪意のあるパッケージは管理者によって最終的には削除されると期待される。ただし、その間に利用者が誤って悪意のあるパッケージをインストールする危険性はある。記事によると、実際に研究者等が誤解を招く名称でパッケージを登録すると、数日であっても一定数のインストール報告が得られたようだ。ボットによる自動取得等もあり得るため実害がどの程度あるかは不明だが、実際に誤ってインストールした人がいた可能性はある
  • 記事に記載されている例では、本来Pythonにはじめからインストールされている(よってレポジトリを頼る必要がない)標準ライブラリ20個について、2日で7000超ダウンロードされたという報告が興味深い。バックポートの類(参考)と勘違いしたのか、あるいは標準ライブラリにあることを知らないまま無闇にインストールしているのか。
  • レポジトリの管理に十分なリソースが割かれているとは言えない状況に読み取れる。記事に記載されているPyPIからの回答によれば、PyPIにはフルタイムの管理者はおらず、アクティブな管理者は現在二人とのことだ。今後なんらかの対応を検討しているとはいえ、いずれにしても対応には時間がかかるし、このリソースの問題は引き続きついて回ると予想される
  • この手の話は他のプログラミング言語のレポジトリでも話題になったと記憶している(例えばnpm

このブログの人気の投稿

LibreOfficeで表紙、目次、本体でフッターのページ番号のスタイルを変える

将棋ウォーズで2級になった

OpenLDAPの設定をしてたら死にそうだった話