有被黑客完全掌控风险，Python 的 GitHub 核心资源库 token 意外曝光

电脑系统网 7 月 16 日信息，网络安全专家看到了出现意外泄露的 GitHub token，能够以最大权限浏览 Python 语言表达、Python 软件包检索（PyPI）和 Python 软件慈善基金会（PSF）存储库。

网络安全公司 JFrog 表示该 GitHub 私浏览 token 代管在 Docker Hub 里的公有制 Docker 容器里，电脑系统网另附博闻有关具体内容如下：

这宗安全案例非常特殊，若该 token 掉入犯罪分子的手中，其潜在性杀伤力再怎么形容也不过分，比如网络攻击能将恶意代码引入 PyPI 软件包（再升级全部 Python 软件包替换为故意软件），甚至可以在 Python 语言表达自身中注入恶意代码。

JFrog 在公共 Docker 容器一个编译程序 Python 文档（“build.cpython-311.pyc”）中发现其验证 token，于 2023 年 3 月 3 日前建立，因为安全性日意在 90 天后已停用，目前尚不清楚实际建立日期。

JFrog 于 2024 年 6 月 28 日公布该 token 以后，有关 token 马上被吊销，没有证据表明该 token 是被黑客利用。

广告宣传申明：文章正文所含的对外开放跳转页面（包括不限于网页链接、二维码、动态口令等方式），用以传递更多信息，节约优选时长，结论仅作参考，电脑系统网全部文章内容均包括本声明。