通过开放技术基金提升互联网自由:PyPI安全审计与开源工具加固

本文详细介绍Trail of Bits与开放技术基金合作,通过多因素认证、API令牌范围化等关键技术增强PyPI安全性,并对iOS/Android端Save应用进行代码审查,展现开源生态系统的安全实践与创新。

通过开放技术基金实现互联网自由

Trail of Bits高度重视互联网自由,开放技术基金(OTF)是我们实现这一目标的重要合作伙伴。我们的核心价值专注于高影响力工作,包括具有积极社会影响的项目。OTF红队实验室致力于为保护隐私、确保互联网开放访问且免于审查的软件提供审计服务。作为红队实验室的骄傲成员,我们已执行多项对互联网自由至关重要的软件产品审计。

PyPI的安全与可用性改进

2019年,我们通过OTF与Changeset Consulting和Kabu Creative合作,对支撑Python包索引(PyPI)的代码库Warehouse进行安全性和可用性改进。PyPI在Python生态系统中的关键性不言而喻:截至2024年,它拥有超过50万个项目和75万名项目维护者,每日服务超过10亿次包下载。

我们的PyPI改进工作涵盖四个主要方面:

  1. 在PyPI上实施强大多因素认证(MFA)方法,包括TOTP和WebAuthn
  2. 添加可范围化的API令牌,允许项目维护者摆脱不安全的用户名/密码对进行包发布
  3. 为PyPI用户和项目添加审计事件,使维护者能够审查其账户和项目上执行的安全敏感操作
  4. 增强PyPI Web UI的可访问性和国际化,包括符合W3C的Web内容可访问性指南

这些改进是PyPI现代化努力的重要组成部分,紧随Warehouse 2018年公测之后。范围化API令牌和现代MFA方法使PyPI成为包索引安全实践的早期“黄金标准”,其他主要索引随后在明确其安全性和可用性优势后也添加了WebAuthn和可范围化API令牌。

总体而言,这些改进帮助提高了互联网最关键打包生态系统之一的安全门槛。同时,它们也证明索引可以在不损害用户和开发者常规工作流程的情况下进行安全增强更改。

审计PyPI及其部署基础设施

2023年,我们重返PyPI进行保障工作:在8月和9月,我们审计了与PyPI及其部署基础设施相关的多个代码库:

  • Warehouse本身,构成PyPI前端和后端的主体
  • cabotage,为PyPI的运行时服务提供类似Heroku的部署基础

我们对这些代码库的审计耗时10个工程师周,共发现29个问题,包括一些可能泄露私有账户状态或损害PyPI运行时服务完整性的问题。审计以修复审查结束,我们确定PyPI维护者已令人满意地修补或缓解了每个问题。

审计结果验证了PyPI的开发理念:强调自动化测试、代码检查和QA意味着发现的低挂果漏洞相对较少,大多数问题出现在代码库中个别服务可能以意外方式交互的部分。我们认为这值得其他打包生态系统考虑,尤其是随着对供应链安全的普遍兴趣上升。以测试和自动化QA形式的一盎司预防在审计时价值一磅治疗。

您可以在我们的审计报告和随附的博客文章中阅读更多细节。PyPI管理员还发布了一个三部分博客文章系列,深入分析每个发现:第一部分、第二部分和第三部分。

OpenArchive在iOS和Android上的Save应用

人权活动家、记者和公民社会组织都有一个共同需求:以保护隐私、避免数据丢失和篡改的方式保存和共享媒体。OpenArchive Save应用为这些多样化用户提供了一种安全上传照片和视频到共享存储提供商的方式,可选使用Tor匿名化网络并包含验证媒体文件的加密签名。我们最近对iOS和Android版本的Save应用进行了两次代码审查。

使用包括具有广泛审查权限的恶意国家行为者的威胁模型,我们的顾问通过动态测试和代码审查评估了Save应用。OpenArchive在我们合作后的几个月内迅速改进了应用的安全性和设计,包括执行大量重构。这些更新有助于防御社会工程攻击,保护本地存储的媒体和凭据免于盗窃,并确保在敌对对手操作的网络上安全传输数据。我们还提供了指导,帮助OpenArchive未来最好地利用可用加密工具。您可以在我们的出版物仓库中查看每个应用版本的出版物:iOS摘要报告和Android摘要报告。

未来展望

了解OTF“社区、协作和好奇心”的愿景,我们期待将我们在模糊测试和持续测试方面的基础带到未来的合作中。毕竟,我们经常发现一些问题,如果在开发早期使用正确的安全工具很容易发现,但它们在整个软件生命周期中未被检测到。本着协作精神,我们将关于持续测试的所学汇集到新的测试手册中,供所有人免费使用。

除了有效的测试技术,互联网自由还需要可靠的软件开发生态系统来支持开源开发。我们与PyPI相关的工作改善了整个Python生态系统的安全状况,我们欢迎有机会在其他领域继续这项工作。

如果您喜欢这篇文章,请分享: Twitter LinkedIn GitHub Mastodon Hacker News

页面内容 PyPI的安全与可用性改进 审计PyPI及其部署基础设施 OpenArchive在iOS和Android上的Save应用 未来展望 近期文章 构建安全消息传递很难:对Bitchat安全辩论的细致看法 使用Deptective调查您的依赖项 系好安全带,Buttercup,AIxCC的评分回合正在进行中! 使您的智能合约超越私钥风险 Go解析器中意外的安全陷阱 © 2025 Trail of Bits。 使用Hugo和Mainroad主题生成。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次