您可能已经听说过 最近影响 CircleCI 的安全漏洞 ,CircleCI 是一项基于容器的持续集成服务,conda-forge 用于在 Linux 中构建软件包,有时还会构建 OSX 软件包。
我们想借此机会向您保证,Anaconda 的软件包不受此事件的影响,我们的客户免受此问题困扰。
在这篇博文中,我们将解释发生了什么,conda-forge 如何应对,以及为什么 Anaconda 的软件包不受此事件的影响。
发生了什么?
2023 年 1 月,CircleCI 公开了安全漏洞,该漏洞暴露了存储在该服务中的所有环境机密。这些机密包括令牌,这些令牌可能允许攻击者以 conda-forge 的名义修改或发布软件包。
Conda-forge 是一项社区主导的项目,为 conda 软件包管理器提供大量软件包。虽然 Anaconda 为 conda-forge 提供托管基础设施,但 conda-forge 和 Anaconda 是独立的实体,它们拥有共同的目标,即为 Python 社区提供对高质量软件包的访问。
conda-forge 如何应对?
conda-forge 迅速而透明地采取行动,以减轻风险并告知用户和社区。
一旦他们了解到漏洞,他们就立即轮换了所有受损令牌,并审核了漏洞期间构建的软件包。之后,他们 通知用户和社区 。
我们赞扬 conda-forge 的及时和专业的应对,并感谢他们对开源生态系统的贡献。
为什么 Anaconda 的软件包不受影响?
虽然我们支持 conda-forge 及其努力,但我们想强调,Anaconda 的软件包不受此事件的影响,我们的客户免受此问题困扰。
这是因为 Anaconda 和 conda-forge 使用的是两个完全独立的构建基础设施。Anaconda 的软件包构建基础设施不以任何方式依赖于 CircleCI。
此外,Anaconda 的软件包构建流程包括各种安全措施,这些安全措施极大地降低了将受损软件包发布到我们标准和高级存储库中的难度。Anaconda 的软件包构建和分发流程由 Anaconda, Inc. 私有管理和发布。
我们了解为我们的客户和 Python 社区维护软件供应链安全的重要性。我们将继续优先考虑服务中的安全性和透明度,并鼓励您就任何问题或疑虑联系我们的支持团队。
感谢您对 Anaconda 的持续信任。
