El ecosistema de Python está bajo una amenaza constante en 2025. Todos los meses, se descubrió una nueva carga maliciosa con índices de paquetes de Python. En diciembre de 2024, uno de los ataques de cadena de suministro más graves en la memoria reciente se dirigió al popular paquete de Yolo Python de ultra alta gama. Las amenazas de la cadena de suministro, como el cambio de informes, el corte de tipo y la picadura de pendiente, ahora son endémicas.
Para complicar esta foto, la infraestructura general para ejecutar Python, como las imágenes oficiales de contenedores de Python, contiene cientos de vulnerabilidades conocidas. Al momento de escribir, esto incluye 8 vulnerabilidades y vulnerabilidades calificadas, con una alta calificación de 115. Estas vulnerabilidades en el tiempo de ejecución de Python y la pila OS son particularmente difíciles para las organizaciones de reparar. El problema es «el jefe me asignó para arreglar Ubuntu».
Este seminario web explora formas prácticas de proteger sus cargas de trabajo de Python en 2025. Cubre los fundamentos de la cadena de suministro, incluidos los sistemas CVE. Discutimos y demostramos un vanguardia y vanguardia mientras escaneamos, firmamos y presentamos proyectos Sigstore y SLSA. Discutiremos los esfuerzos recientes con los índices de paquetes de Python para garantizar el final de la cadena de suministro. También profundizamos en dos soluciones proporcionadas por Chainguard, Chainguard Containers y Bibliotecas de Chainguard. Esto acelerará el viaje de la cadena de suministro de Python de su organización.
En 2025, no es suficiente para obtener la instalación y la oración. La integridad del código de producción de Python es importante, y es hora de tomar la seguridad de la cadena de suministro tan en serio como la seguridad de la aplicación. Donde quiera que esté en su viaje de seguridad de la cadena de suministro de software, únase a nosotros y lleve su seguridad de carga de trabajo de Python al siguiente nivel.
Source link
