Indeks Paket Python, atau PyPI, terus mengejutkan dan bukan dengan cara yang baik.
Idealnya sebagai sumber pustaka Python yang dapat disertakan oleh pengembang dalam proyek mereka untuk menghemat waktu, PyPI kembali tertangkap paket hosting dengan kunci Amazon Web Services (AWS) langsung dan malware pencuri data.
Sayangnya, paket berbahaya bukanlah hal baru untuk PyPI atau untuk sistem pengemasan seperti npm, RubyGems, crates.io, dan sejenisnya.
Serangan rantai pasokan – melalui kompromi pustaka perangkat lunak atau kesalahan ketik – telah menjadi masalah selama bertahun-tahun, meskipun baru-baru ini mendapat lebih banyak perhatian dengan insiden seperti kompromi SolarWinds.
Meskipun kewaspadaan ditingkatkan, insiden ini masih terjadi dengan frekuensi yang mengkhawatirkan.
Tepat sebelum Tahun Baru, pengelola kerangka kerja pembelajaran mesin PyTorch memperingatkan bahwa PyTorch-nightly, jika diinstal di Linux melalui pip, menyertakan ketergantungan yang disusupi yang tersedia melalui PyPI yang disebut torchtriton.
Selengkapnya: Linux Security
