提升互联网自由:Open Technology Fund与PyPI安全加固实战

本文详细介绍了Trail of Bits与Open Technology Fund合作,通过实施多因素认证、API令牌范围化、安全审计等技术方案,显著提升PyPI软件仓库安全性的实践过程,涵盖代码审计、威胁建模及移动端安全加固等核心技术内容。

互联网自由与Open Technology Fund的合作

Trail of Bits高度重视互联网自由,而Open Technology Fund(OTF)是我们实现这一目标最珍贵的合作伙伴之一。我们的核心价值观包括专注于高影响力工作,特别是具有积极社会影响的项目。OTF的红队实验室致力于为保护隐私、确保互联网开放访问且免于审查的软件提供审计服务。我们自豪地成为红队实验室的成员,并已执行了多项对互联网自由至关重要的软件产品审计。以下是我们的工作内容。

PyPI的安全与可用性改进

早在2019年,我们通过OTF与Changeset Consulting和Kabu Creative合作,对Warehouse(支持Python Package Index(PyPI)的代码库)进行了安全性和可用性改进。PyPI在Python生态系统中的重要性不容小觑:截至2024年,PyPI拥有超过50万个项目和75万名项目维护者,每天服务超过10亿次软件包下载。

我们的PyPI工作从四个主要角度展开:

  • 在PyPI上实施强大的多因素认证(MFA)方法,包括TOTP和WebAuthn
  • 添加可范围化的API令牌,允许项目维护者放弃不安全的用户名/密码对进行软件包发布
  • 为PyPI用户和项目添加审计事件,以便维护者可以审查在其账户和项目上执行的安全敏感操作
  • 对PyPI的Web UI进行可访问性和国际化增强,包括符合W3C的Web内容可访问性指南

我们的工作是PyPI现代化努力的重要组成部分,紧随Warehouse 2018年公测之后。范围化API令牌和现代MFA方法也使PyPI成为软件包索引安全实践的早期“黄金标准”,其他主要索引随后在明确其安全性和可用性优势后,也添加了WebAuthn和可范围化API令牌。

总的来说,这些改进帮助提高了互联网最关键打包生态系统之一的安全门槛。在此过程中,它们还证明了索引可以在不损害用户和开发者正常工作流程的情况下,实施增强安全的更改。

审计PyPI及其部署基础设施

2023年,我们回归PyPI进行保障方面的工作:在8月和9月,我们审计了与PyPI及其部署基础设施相关的一系列代码库:

  • Warehouse本身,构成PyPI前端和后端的大部分
  • cabotage,为PyPI的运行时服务提供类似Heroku的部署基础

我们对这些代码库的审计历时10个工程师周,共发现29个问题,包括一些可能泄露私有账户状态或损害PyPI运行时服务完整性的问题。我们以修复审查结束了审计,确定PyPI的维护者已满意地修补或以其他方式缓解了所有问题。

我们的审计结果验证了PyPI的开发理念:强调自动化测试、代码检查和QA意味着相对较少的低级错误被发现,大多数问题出现在代码库中个别服务可能以意外方式交互的部分。我们认为这值得其他打包生态系统考虑,尤其是随着对供应链安全的普遍兴趣上升。以测试和自动化QA形式的一盎司预防,在审计时抵得上一磅的治疗。

您可以阅读我们的审计报告以及随附的博客文章以获取更多详细信息。PyPI的管理员还发布了一个三部分的博客文章系列,深入分析每个发现:第一部分、第二部分和第三部分。

OpenArchive的Save应用在iOS和Android上

人权活动家、记者和公民社会组织都有一个共同需求:以保护隐私、避免数据丢失和篡改的方式保存和共享媒体。OpenArchive Save应用为这些多样化用户提供了一种安全上传照片和视频到共享存储提供商的方式,可选使用Tor匿名化网络,并包括验证媒体文件的加密签名。我们最近对Save应用的iOS和Android版本进行了两次代码审查。

使用包括具有广泛审查权限的恶意国家行为者在内的威胁模型,我们的顾问通过动态测试和代码审查评估了Save应用。OpenArchive在我们合作后的几个月内迅速改进了应用的安全性和设计,包括执行大量重构。这些更新帮助防御社会工程攻击,保护本地存储的媒体和凭据免于盗窃,并确保在敌对对手操作的网络上安全传输数据。我们还提供了指导,帮助OpenArchive在未来最好地利用可用的加密工具。您可以在我们的出版物仓库中查看每个应用版本的出版物:iOS摘要报告和Android摘要报告。

未来展望

了解OTF的“社区、协作和好奇心”愿景,我们期待将我们在模糊测试和持续测试方面的基础带到未来的合作中。毕竟,我们经常发现一些问题,如果在开发早期使用正确的安全工具很容易发现,但它们在整个软件生命周期中未被检测到。本着协作的精神,我们将关于持续测试的所学汇集到新的测试手册中,供所有人免费使用。

除了有效的测试技术,互联网自由还需要可靠的软件开发生态系统来支持开源开发。我们与PyPI相关的工作改善了整个Python生态系统的安全状况,我们欢迎有机会在其他领域继续这项工作。

如果您喜欢这篇文章,请分享: Twitter LinkedIn GitHub Mastodon Hacker News

页面内容 PyPI的安全与可用性改进 审计PyPI及其部署基础设施 OpenArchive的Save应用在iOS和Android上 未来展望 近期文章 使用Deptective调查您的依赖项 系好安全带,Buttercup,AIxCC的评分轮正在进行中! 超越私钥风险,成熟您的智能合约 Go解析器中意想不到的安全隐患 我们从审查Silence Laboratories的首批DKLs23库中学到了什么 © 2025 Trail of Bits。 使用Hugo和Mainroad主题生成。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次