pipは、社内レジストリとPyPIに同じパッケージ名があった場合に、PyPIを優先してインストールするため、PyPIに同じ名前おかれたマルウェアをインストールしてしまうというDependency Confusionを使ったサプライチェーン攻撃

efcl のブックマーク 2023/01/02 22:34

<blockquote class="hatena-bookmark-comment"><a class="comment-info" href="https://b.hatena.ne.jp/entry/4730302848261292580/comment/efcl" data-user-id="efcl" data-entry-url="https://b.hatena.ne.jp/entry/s/pytorch.org/blog/compromised-nightly-dependency/" data-original-href="https://pytorch.org/blog/compromised-nightly-dependency/" data-entry-favicon="https://cdn-ak2.favicon.st-hatena.com/64?url=https%3A%2F%2Fpytorch.org%2Fblog%2Fcompromised-nightly-dependency%2F" data-user-icon="/users/efcl/profile.png">Compromised PyTorch-nightly dependency chain between December 25th and December 30th, 2022.</a><ul class="comment-tag" style="list-style: none; margin: 0px;"><li style="float: left">[<a href="https://b.hatena.ne.jp/q/pyhon">pyhon</a>]</li><li style="float: left">[<a href="https://b.hatena.ne.jp/q/secretlint">secretlint</a>]</li></ul><br><p style="clear: left">pipは、社内レジストリとPyPIに同じパッケージ名があった場合に、PyPIを優先してインストールするため、PyPIに同じ名前おかれたマルウェアをインストールしてしまうというDependency Confusionを使ったサプライチェーン攻撃</p><a class="datetime" href="https://b.hatena.ne.jp/efcl/20230102#bookmark-4730302848261292580"><span class="datetime-body">2023/01/02 22:34</span></a></blockquote><script src="https://b.st-hatena.com/js/comment-widget.js" charset="utf-8" async></script>

このブックマークにはスターがありません。
最初のスターをつけてみよう！

Compromised PyTorch-nightly dependency chain between December 25th and December 30th, 2022.

pytorch.org2023/01/01

Join us in Silicon Valley September 18-19 at the 2024 PyTorch Conference. Learn more. Learn Get Started Run PyTorch locally or get started quickly with one of the supported cloud platforms Tutorial...

56 人がブックマーク・7 件のコメント

他のコメントを読む

＼コメントがサクサク読めるアプリです／

はてなブックマーク

Compromised PyTorch-nightly dependency chain between December 25th and December 30th, 2022.

はてなブックマーク

公式Twitter

はてなのサービス