PyPI 作为 Python 生态的核心包索引,近期虽无直接重大事件,但供应链安全议题持续升温。与 PyPI 类似的 npm 平台刚遭供应链投毒攻击,波及 echarts-for-react 等热门项目,凸显了包管理平台面临的恶意包渗透风险。Perplexity 开源了只读供应链扫描器 Bumblebee,专为开发者端点设计,可检测依赖中的已知漏洞,此类工具或可推广至 PyPI 生态。此外,Keras 月下载量突破 2100 万,创历史新高,显示 PyPI 上机器学习库的强劲需求。当前焦点:PyPI 需警惕供应链投毒攻击,未来可关注类似 Bumblebee 的扫描工具在 Python 生态的适配,以及 PyPI 自身安全机制的强化。
- 近期主要进展:
- npm 遭供应链投毒攻击,影响 echarts-for-react、AntV 等热门项目:虽然事件发生在 npm 平台,但攻击手法(如typosquatting、依赖混淆)对 PyPI 同样构成威胁,提示 Python 社区需加强包审查与用户安全意识。
- Perplexity 开源 Bumblebee:只读供应链扫描器:该工具可扫描依赖树中的已知漏洞,只读设计降低误操作风险,为 PyPI 用户提供可借鉴的自动化安全检测方案。
- Keras 月下载量突破 2100 万,创历史新高:Keras 作为 PyPI 上的热门包,其下载量增长反映了 AI/ML 领域对 PyPI 的依赖加深,也意味着潜在攻击面扩大。
当前焦点:PyPI 如何平衡开放性与安全性,例如是否引入更严格的包审核流程或强制双因素认证。未来观察点:类似 Bumblebee 的扫描工具是否会被整合进 PyPI 官方客户端;供应链攻击是否会向 PyPI 转移,以及 Python 社区能否借鉴 npm 的教训提前防范。