Python 警惕偽裝成著名軟件包的惡意模塊示例分析���,針對(duì)這個(gè)問題,這篇文章詳細(xì)介紹了相對(duì)應(yīng)的分析和解答����,希望可以幫助更多想解決這個(gè)問題的小伙伴找到更簡單易行的方法。
創(chuàng)新互聯(lián)是一家專業(yè)提供城廂企業(yè)網(wǎng)站建設(shè),專注與網(wǎng)站制作���、成都網(wǎng)站建設(shè)�����、H5建站�、小程序制作等業(yè)務(wù)����。10年已為城廂眾多企業(yè)��、政府機(jī)構(gòu)等服務(wù)�。創(chuàng)新互聯(lián)專業(yè)網(wǎng)絡(luò)公司優(yōu)惠進(jìn)行中��。
本周早些時(shí)候����,兩個(gè)包含惡意代碼的Python第三方模塊被從官方軟件庫PyPI中刪除。這兩個(gè)惡意軟件包通過使用非常相似的名字來迷惑安裝者���。
它們偽裝成dateutil和jellyfish軟件包 (前者用于處理日期時(shí)間��,后者用于字符串近似計(jì)算等)���,偽裝命名為python-dateutil和jeIlyfish,如果安裝包的時(shí)候并不熟悉這些模塊��,而且也沒有看官方文檔���,那就非常有可能中招�。
看�����,有人甚至不知道它是冒牌貨,拿來做教程
安裝后����, python-dateutil 和 jeIlyfish 與原始的軟件包行為完全相同,但是它們會(huì)偷偷地將個(gè)人數(shù)據(jù)上傳到服務(wù)器�。但是正常使用的人恐怕無法發(fā)現(xiàn)惡意模塊的這些行為。
Python庫通常分為兩種�,一種是Python運(yùn)行時(shí)自帶的標(biāo)準(zhǔn)庫,還有一種則是托管在PyPI上的第三方程序包��,而上傳第三方程序包到PyPI時(shí)�,大部分程序包都不會(huì)被審核到����。這就導(dǎo)致你進(jìn)行pip安裝的時(shí)候,如果不小心輸錯(cuò)了單詞���,就有可能安裝到惡意模塊���。
這引出了一個(gè)現(xiàn)在許多開源軟件社區(qū)都非常頭痛的問題:如何讓人們能將自己的代碼貢獻(xiàn)到通用存儲(chǔ)庫(如PyPI),且不被不懷好意的人利用���。
據(jù)說�,Python軟件基金會(huì)已經(jīng)制定了保護(hù)PyPI免受濫用的計(jì)劃,但要全面執(zhí)行計(jì)劃需要一些時(shí)間�����。此外��,Python軟件基金會(huì)中負(fù)責(zé)封裝的工作組已經(jīng)獲得了Facebook Research的撥款��,用于開發(fā)自動(dòng)檢測惡意上傳第三方程序包的功能�����。
盡管如此����,這些預(yù)防措施離上線還有很遠(yuǎn),我們?cè)谶x擇使用第三方模塊的時(shí)候一定要注意你的命令pip install的是不是那個(gè)真的模塊�����,而不是一個(gè)冒牌貨�����,這樣才能將風(fēng)險(xiǎn)降至最低��。
關(guān)于Python 警惕偽裝成著名軟件包的惡意模塊示例分析問題的解答就分享到這里了,希望以上內(nèi)容可以對(duì)大家有一定的幫助���,如果你還有很多疑惑沒有解開�����,可以關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道了解更多相關(guān)知識(shí)��。
分享文章:Python警惕偽裝成著名軟件包的惡意模塊示例分析
網(wǎng)址分享:
http://weahome.cn/article/jssjcg.html
重慶分公司
重慶分公司
