您可能已经听说过影响 CircleCI 的最近的安全漏洞,CircleCI 是一种基于容器的持续集成服务,conda-forge 使用它来构建 Linux 和有时 OSX 软件包。
我们想借此机会向您保证,Anaconda 的软件包不受此事件的影响,我们的客户免受此问题的影响。
在这篇博文中,我们将解释发生了什么,conda-forge 如何回应,以及为什么 Anaconda 的软件包不受此事件的影响。
发生了什么?
2023 年 1 月,CircleCI 披露了一起安全漏洞,该漏洞暴露了存储在该服务中的所有环境机密。这些机密包括可能允许攻击者代表 conda-forge 修改或发布软件包的令牌。
Conda-forge 是一个社区主导的项目,为 conda 软件包管理器提供大量软件包。虽然 Anaconda 为 conda-forge 提供托管基础设施,但 conda-forge 和 Anaconda 是独立的实体,它们拥有为 Python 社区提供高质量软件包的共同目标。
conda-forge 如何回应?
Conda-forge 迅速且透明地采取行动,以减轻风险并告知用户和社区。
他们一得知漏洞,就轮换了所有受损令牌,并审计了漏洞期间构建的软件包。之后,他们适当地通知了用户和社区。
我们赞扬 conda-forge 迅速且专业的反应,并感谢他们对开源生态系统的贡献。
为什么 Anaconda 的软件包不受影响?
虽然我们支持 conda-forge 及其努力,但我们想强调的是,Anaconda 的软件包不受此事件影响,我们的客户免受此问题的影响。
这是因为 Anaconda 和 conda-forge 使用两个完全独立的构建基础设施。Anaconda 的软件包构建基础设施在任何方面都不依赖 CircleCI。
此外,Anaconda 的软件包构建过程包含各种安全措施,这些措施使得将受损软件包发布到我们的标准和高级存储库变得更加困难。Anaconda 的软件包构建和分发过程由 Anaconda, Inc. 私下管理和发布。
我们理解为我们的客户和 Python 社区维护软件供应链安全的重要性。我们将继续优先考虑我们服务的安全性和透明度,并鼓励您联系我们的支持团队,提出任何问题或疑虑。
感谢您一直以来对 Anaconda 的信任。
