PyPi : le projet Quarantaine lutte contre les paquets Python malveillants

Depuis 2 ans, les paquets Python malveillants se multiplient sur PyPi. Les hackers utilisent des noms très proches pour provoquer une confusion et l'utilisateur installe le mauvais paquet ou des paquets officiels sont purement et simplement remplacés par de faux paquets. Le projet Quarantine (quarantaine) doit permettre aux administrateurs PyPi d'isoler un paquet incertain ou identifié comme malveillant. L'objectif est que les administrateurs PyPi disposent de rapports d'analyse sur les paquets et, si un paquet s'avère douteux, ils peuvent isoler le ou les paquets et toutes leurs versions liées. La suppression complète des paquets sera possible ainsi que le bannissement du nom du paquet. Les auteurs de Quarantine sont conscients que la suppression totale d'un paquet peut gêner les développeurs et les utilisateurs. Les créateurs des paquets seront prévenus et la procédure d'exclusion lancée.Plus un paquet malveillant reste disponible longtemps, plus il risque de se propager. Depuis que le projet est déployé, plus de 140 paquets ont été identifiés et isolés. Un projet a été réintégré, tous les autres ont été supprimés de PyPi.Pour en savoir plus : https://blog.pypi.org/posts/2024-12-30-quarantine/Catégorie actualité: SécuritéPython, PyPi, sécuritéImage actualité AMP: