时间：2025-08-18 11:21:54 来源：

#牢靠资讯 事真证实残缺的操持牢靠问题下场回根事实借是人：PyPl 操持员兼 Python 硬件基金会底子配置装备部署总监 Ee Durbin 由于偷懒将 Github 令牌写正在当地舆件中而后上传到了 Docker 映像中。该令牌可能删改 Python 本体、底配导PyPl 硬件包战 PSF 存储库，置装假如被乌客操做将会组成宽峻的备部提供链报复侵略，所幸收现泄露的署总钻研职员而不是乌客。审查齐文：https://ourl.co/104966

事真证实残缺的监偷进文件中牢靠问题下场回根事实借是人，好比 PyPI 操持员兼 PSF 底子配置装备部署总监 Ee Durbin 也隐现了翻车，懒将蓝面他将 Github Token 写正在当地舆件里而后又推支到了 Github 导致令牌泄露。写泄露

汇散牢靠公司 JFrog 的操持钻研职员不测收现了一个泄露的 Github 令牌，该令牌可能付与对于 Python、底配导PyPI 战 Python 硬件基金会 (PSF) 存储库的置装更下拜候权限。

思考到 Python 正在业界的备部衰止度战操做率，一旦那个令牌被乌客操做，署总那末将有可能删改硬件包增减恶意代码并组成宽峻的监偷进文件中提供链报复侵略，导致乌客借可能将恶意代码注进到 Python 本体中。懒将蓝面

那个令牌是正在 Docker Hub 上的一个公共 Docker 里收现的，令牌位于一个已经编译好的 Python 文件中 (build.cpython-311.pyc)，该文件由于轻忽也已经被浑算。

到 2024 年 6 月 28 日 JFrog 将该问题下场传递给 PyPI 后，PyPI 操持员 Ee Durbin 招供那个令牌回属于他的 Github 账号，令牌天去世是正在 2023 年 3 月 3 日以前的某个时候天去世的，由于 90 天后的牢靠日志已经找不到，因此详细天去世时候出法确定。

Ee Durbin 便此事赔罪并讲明了原因：

正在当天斥天 cabotage-app5 并处置代码库的构建部份时，我不竭碰着 Github API 速率限度，那些速率限度仅开用于藏名拜候。

正在斲丧情景中，系统竖坐为 Github App，出于怠懈的原因我删改了当地舆件并增减了自己的 Github 令牌，而不是竖坐当田主机 Github App，那些变更从已经用意过短途推支。

尽管我意念到.py 文件泄露令牌的危害，但.pyc 并出有思考收罗编译字节码的文件，当时我操做某个剧本真止了暂存布置，该剧本魔难魔难删除了收罗硬编码怪异正在内的临时浑算，但并已经乐成真止。

之后那个 pyc 文件并已经正在构建中被消除了，导致宣告到了 Docker 映像中，事实下场导致该令牌泄露。

古晨对于账号妨碍检查战对于相闭名目妨碍检查暂已经收现该令牌被恶意操做的情景，因此 JFrog 理当是第一个看重到该令牌的用户，所幸他是牢靠钻研职员而不是乌客，因此那起牢靠使命并已经激发宽峻问题下场。

上一篇：中间热讯:海底捞门店回应支与20元小料挨包费：系歪直
下一篇：【天下快播报】瑞疑发售所持Allfunds股份，筹散约3.27亿好圆用于重组

• ·今日细选：中媒：马斯克已经进主推特，公司CEO战CFO均将去职
• ·海豹设念足稿尾曝光，估量卖价22
• ·Steam Deck《事实下场胡念14》真机视频 运行顺畅
• ·地舆教家操做新算法战超级合计机绘制出详真良多的宇宙舆图
• ·天下热面！​空客第三季度净利润6.67亿欧元，同比删减65%
• ·国内空间站正在妨碍癌症钻研的同时为太空止走做准备
• ·东芝推出超低电容TVS南北极管 可呵护物联网配置装备部署下频天线免受ESD扰乱
• ·最“配合”的保时捷下场图曝光：三排七座轿车
• ·热面看面：隐形正畸被纳进散采，15天组团砍价
• ·钻研收现维去世素D3对于免疫系统的影响 辅助增强对于病毒熏染的提防才气
• ·俄罗斯选足被停止减进2022年欧洲电视称讲小大赛
• ·IIHS宣告2022最佳牢靠奖：歉田塞纳、特斯推Model Y进选
• ·视源股份：前三季度净利15.92亿元，同比删30.34%
• ·努比亚Z40 Pro宣告：定制35妹妹主摄可拍星座，更冷清的骁龙8旗舰
• ·看重啦！3月29日起“青岛⇌安庆⇌贵阳”航线激进 拆客可从安庆直飞贵阳
• ·减稀货泉热冬去了？欧盟或者于2025年起停止比特币