GitHub is begonnen met het scannen van commits naar publieke repositories op het lekken van PyPI API-tokens. Gevonden tokens worden doorgestuurd naar de Python Package Index (PyPI) die ze vervolgens zal uitschakelen en de eigenaren een waarschuwing stuurt.
Een repository bevat code van een softwareproject. Sommige softwareprojecten communiceren met een externe dienst en maken hiervoor gebruik van bijvoorbeeld een token. Wanneer dit token in de repository wordt geplaatst kan iedereen met toegang tot de repository gebruikmaken van de token om toegang tot de externe dienst te krijgen. GitHub adviseert om tokens en andere secrets in een aparte, beveiligde locatie buiten de repository voor het softwareproject te bewaren.
Het komt echter voor dat ontwikkelaars tokens of een private key naar hun respository uploaden, met alle gevolgen van dien als derden hier toegang toe krijgen. Om het lekken tegen te gaan biedt GitHub "Secrets scanning". Elke code die een ontwikkelaar naar een publieke repository uploadt wordt vervolgens op secrets, zoals een token, gecontroleerd.
Nu gaat GitHub dit ook doen voor API-tokens van de Python Package Index. PyPI bevat allerlei software die door de Python-gemeenschap is ontwikkeld. Voor het uploaden van packages naar PyPI kan er gebruik worden gemaakt van API-tokens. Ontwikkelaars hoeven zich dan niet met een gebruikersnaam en wachtwoord te authenticeren. Een aanvaller die het token in handen krijgt zou echter malafide software naar het project kunnen uploaden. De nu aangekondigde samenwerking tussen GitHub en PyPI moet dit voorkomen.
Deze posting is gelocked. Reageren is niet meer mogelijk.