#安全资讯 事实证明所有的安全问题归根到底还是人：PyPl 管理员兼 Python 软件基金会基础设施总监 Ee Durbin 因为偷懒将 Github 令牌写在本地文件中然后上传到了 Docker 映像中。该令牌可以修改 Python 本体、PyPl 软件包以及 PSF 存储库，如果被黑客利用将会造成严重的供应链攻击，所幸发现泄露的研究人员而不是黑客。查看全文：https://ourl.co/104966

事实证明所有的安全问题归根到底还是人，比如 PyPI 管理员兼 PSF 基础设施总监 Ee Durbin 也出现了翻车，他将 Github Token 写在本地文件里然后又推送到了 Github 导致令牌泄露。

网络安全公司 JFrog 的研究人员意外发现了一个泄露的 Github 令牌，该令牌可以授予对 Python、PyPI 以及 Python 软件基金会 (PSF) 存储库的更高访问权限。

考虑到 Python 在业界的流行度和使用率，一旦这个令牌被黑客利用，那么将有可能修改软件包添加恶意代码并造成严重的供应链攻击，甚至黑客还可以将恶意代码注入到 Python 本体中。

这个令牌是在 Docker Hub 上的一个公共 Docker 里发现的，令牌位于一个已经编译好的 Python 文件中 (build.cpython-311.pyc)，该文件因为疏忽也未被清理。

到 2024 年 6 月 28 日 JFrog 将该问题通报给 PyPI 后，PyPI 管理员 Ee Durbin 承认这个令牌归属于他的 Github 账号，令牌生成是在 2023 年 3 月 3 日之前的某个时间生成的，由于 90 天后的安全日志已经找不到，因此具体生成时间无法确定。

Ee Durbin 就此事道歉并解释了原因：

在本地开发 cabotage-app5 并处理代码库的构建部分时，我不断遇到 Github API 速率限制，这些速率限制仅适用于匿名访问。

在生产环境中，系统配置为 Github App，出于懒惰的原因我修改了本地文件并添加了自己的 Github 令牌，而不是配置本地主机 Github App，这些更改从未打算过远程推送。

虽然我意识到.py 文件泄露令牌的风险，但.pyc 并没有考虑包含编译字节码的文件，当时我使用某个脚本执行了暂存部署，该脚本尝试删除包含硬编码机密在内的临时清理，但并未成功执行。

之后这个 pyc 文件并未在构建中被排除，导致发布到了 Docker 映像中，最终导致该令牌泄露。

目前对账号进行检查以及对相关项目进行检查暂未发现该令牌被恶意利用的情况，因此 JFrog 应该是第一个注意到该令牌的用户，所幸他是安全研究人员而不是黑客，因此这起安全事件并未引起严重问题。