Python 공급망 침해

Source: Schneier on Security

Details

Python Package Index 패키지 litellm 버전 1.82.8에서 악성 공급망 침해가 확인되었습니다. 배포된 휠에는 악성 .pth 파일(litellm_init.pth, 34,628 바이트)이 포함되어 있으며, 이는 litellm 모듈을 명시적으로 임포트하지 않아도 Python 인터프리터가 시작될 때마다 자동으로 실행됩니다.

Mitigation

핵심 라이브러리를 보호하려면 다음과 같은 다양한 실천이 필요합니다.

• 소프트웨어 자재 명세서(SBOM) 생성
• SLSA(Software Artifacts 공급망 수준) 구현
• 서명 및 검증을 위한 SigStore 사용

이러한 단계는 Python 생태계를 유사한 위협으로부터 보호하는 데 필수적입니다.