Chainguard 为 Python 推出抗恶意软件的依赖项

快速阅读: 《Beta新闻》消息，2025年5月15日，伊恩·巴克撰文指出，Python 成为供应链攻击目标，因其生态中存在审查不足等问题。为应对威胁，Chainguard 推出基于 SLSA L2 的 Chainguard Python 库，从源代码安全构建，帮助企业抵御恶意软件威胁，同时与现有工具集成，不影响开发者工作流程。目前该库已开放试用。

2025年5月15日
伊恩·巴克撰写

Python 编程语言已成为现代人工智能和机器学习应用的核心。这也使其成为供应链攻击的主要目标。公共注册表对托管的工件进行的审查较少，且无法保证分发的库与其源代码一致，这使企业面临供应链攻击的威胁。此外，由于许多 Python 库不仅包含纯 Python 代码（例如，项目维护者通常会将共享系统库重新打包进其 Python 库中，以确保行为的一致性），因此 Python 库也容易受到供应链攻击的影响。

为应对这些威胁，Chainguard 推出了 Chainguard Python 库，这是一个基于 SLSA L2 基础设施，从源代码安全构建的防恶意软件 Python 依赖项索引。

通过从源代码安全地构建每个库及其所有依赖项，Chainguard Python 库让应用程序安全团队有信心，即在 Python 生态系统的库构建和分发过程中没有恶意软件被植入。

“Chainguard 正在从源代码重新构建指定库的所有组件——无论是 Python、Java 还是其他任何内容——以便组织能够减轻恶意软件的威胁，明确知道软件中具体包含了什么，并消除隐藏的供应链漏洞隐患，”Chainguard 联合创始人兼首席产品官金·卢万多夫斯基表示，“我们提供了一个安全可靠的 Python 库来源，帮助企业减少摩擦并提升安全性，而无需改变开发人员构建和部署软件的方式。”

它与现有的工件管理器集成，以赋能应用程序安全团队关闭巨大的安全漏洞，同时不会干扰开发人员的工作。

从源代码构建每个 Python 库及其每个依赖项，可以对抗开源供应链中构建和分发环节的恶意软件植入。这降低了来自供应链威胁点的风险水平，例如被篡改的构建过程、发布管道和分发点。隔离并重新构建 Python 库所需的共享系统依赖，使 Chainguard 能够消除由捆绑软件组件引发的另一潜在攻击路径。

Chainguard Python 库现已开放早期试用，您可访问 Chainguard 官网了解更多详情。

图片来源：Acnalesky/Dreamstime.com

分享
转发
收藏
邮件
短信

(以上内容均由Ai生成)