PyPI管理员/PSF基础设施总监偷闲：将Github Token写入文件中导致走漏

事实证明一切的安全问题归根结底仍是人，比方 PyPI 管理员兼 PSF 基础设施总监 Ee Durbin 也呈现了翻车，他将 Github Token 写在本地文件里然后又推送到了 Github 导致令牌走漏。

网络安全公司 JFrog 的研究人员意外发现了一个走漏的 Github 令牌，该令牌能够颁发对 Python、PyPI 以及 Python 软件基金会 (PSF) 存储库的更高拜访权限。

考虑到 Python 在业界的盛行度和运用率，一旦这个令牌被黑客运用，那么将有或许修正软件包增加歹意代码并形成严峻的供应链进犯，乃至黑客还能够将歹意代码注入到 Python 本体中。

这个令牌是在 Docker Hub 上的一个公共 Docker 里发现的，令牌坐落一个现已编译好的 Python 文件中 (build.cpython-311.pyc)，该文件因为忽略也未被整理。

到 2024 年 6 月 28 日 JFrog 将该问题通报给 PyPI 后，PyPI 管理员 Ee Durbin 供认这个令牌归属于他的 Github 账号，令牌生成是在 2023 年 3 月 3 日之前的某个时刻生成的，因为 90 天后的安全日志现已找不到，因而详细生成时刻无法确认。

Ee Durbin 就此事抱歉并解说了原因：

在本地开发 cabotage-app5 并处理代码库的构建部分时，我不断遇到 Github API 速率约束，这些速率约束仅适用于匿名拜访。

在出产环境中，系统装备为 Github App，出于懒散的原因我修正了本地文件并增加了自己的 Github 令牌，而不是装备本地主机 Github App，这些更改从未计划过长途推送。

独爱我意识到.py 文件走漏令牌的危险，但.pyc 并没有考虑包括编译字节码的文件，其时我运用某个脚本履行了暂存布置，该脚本测验删去包括硬编码秘要在内的暂时整理，但并未成功履行。

之后这个 pyc 文件并未在构建中被扫除，导致发布到了 Docker 映像中，终究导致该令牌走漏。

现在对账号进行检查以及对相关项目进行检查暂未发现该令牌被歹意运用的状况，因而 JFrog 应该是第一个注意到该令牌的用户，所幸他是安全研究人员而不是黑客，因而这起安全事情并未引起严峻问题。