许多PyPI代码提交都暴露了重要的安全数据

新研究称，由于软件开发实践的草率，黑客能够轻松访问敏感数据库和重要文件。GitGuardian的一份报告发现，许多开发人员仍然错误地在代码中留下密码和其他秘密，从而为任何知道在哪里查找的人提供了对其产品的不断访问。

这些秘密不仅包括密码，还包括加密密钥、安全令牌和其他敏感信息。

读者优惠：50美元亚马逊礼品卡(带演示)

读者优惠：带演示版的50美元亚马逊礼品卡

Perimeter81的恶意软件防护可在交付阶段拦截威胁，以防止已知恶意软件、多态攻击、零日攻击等。让您的员工自由使用网络，而无需担心数据和网络安全。

首选合作伙伴(这是什么意思?)

数百个有效密钥

为了起草这份报告，GitGuardian的研究人员分析了超过500万个文件，这些文件属于Python官方代码存储库PyPI上发布的450,000个项目。他们发现近3,000个项目都至少有一个秘密。在某些情况下，秘密被泄露不止一次，总共有近57,000个秘密被泄露。

报告指出：“暴露开源软件包中的秘密会给开发者和用户带来巨大的风险。”“攻击者可以利用这些信息来获得未经授权的访问、冒充软件包维护者或通过社会工程策略操纵用户。”

据ArsTechnica报道，通过这些秘密，黑客可以访问MicrosoftActiveDirectory服务器、允许单点登录的OAuth服务器、SSH服务器以及用于客户通信和加密货币的第三方服务。

事实上，研究人员发现了有效的秘密，例如AzureActiveDirectoryAPI密钥、GitHubOAuth应用程序密钥、MongoDB、MySQL和PostgreSQL等提供商的数据库凭据、Dropbox密钥、Auth0密钥、SSH凭据、Coinbase凭据和Twilio主凭据。

研究人员测试了这些凭据并得出结论，有700多个仍然活跃。然而，这并不意味着其余的都是无效的，研究人员进一步解释说：“只有正确轮换一个秘密，你才能知道它是否无效。GitGuardian仍在致力于自动验证某些类型的秘密，包括HashicorpVault令牌、Splunk身份验证令牌、Kubernetes集群凭证和Okta令牌。”

以这种方式公开凭据在任何情况下都是没有意义的，这导致研究人员得出结论：开发人员只是错误地这样做了。