ちょうど 365 日前に、アプリケーション オファー チェーン攻撃から JavaScript アプリを保護する、開発者向けの簡単な GitHub アプリである Socket をリリースしました。 それ以来、Vercel、Dauntless、BBC、Expo、Storybook、Replit、Metamask など、何千もの組織が Socket を採用しています。
今日、私たちは Socket が Python をサポートするようになったというブームに非常に興奮しています!Python の改善はここにあります!
Python の改善はここにあります!
Python は、この地球上で最も好まれているプログラミング言語の 1 つであり、何百万人ものビルダーが、知識科学から Web 開発まで、Python を全面的に利用しています。 代わりに、すべてのオープン ソース アプリケーションが大好きですが、Python アプリケーションは チェーン攻撃を提供する可能性があります.
最終的には昨年は、PyPI に集中したオファー チェーン攻撃が魅力的な上昇傾向にあることを確認しました。 攻撃者は、PyPI 依存関係を介して組織を攻撃するための代替手段を利用しています。 そのため、Python で発明したグループに対して特定の Socket がクラス内のみの保護を提供するようにするために、非常に厳しい作業を行ってきました
Python 用の Socket で開始するには、おそらく Socket GitHub Appをインストールします。 すべての Python プロジェクトにソケット保護を追加するのに 5 分もかかりません 。
- 最もきちんと好きな Python 機器管理者のための充実した改善
- pipfile
pyproject.toml( で標準化) PEP 518- pipfile
ビルダーは無料で使えます socket.dev PyPI 機器の安全性と健康状態を簡単に分割するための機器検索ツール
socket.dev で機器の検索を開始した場合、悪意のある、または不健康な機器を使用しようとしている間に、積極的な情報を収集することができます。 Socket は、マルウェア、タイポスクワッティング、隠しコード、不正なアプリケーション、過剰なアクセス許可 (ファイルシステム、ネットワーク、アンビエンス変数) などとともに、オープン ソース コードの 70 以上の危険信号を検出します。
ここに の利用の活力を示す例があります)socket.dev のデフォルト検索ツールのスペース) npmjs.com または pypi.org. デフォルトの検索ツールでは手元にない豊富な知識について安全です:
PyPI アプリケーション としてnpm アプリケーション 。 その間の期間内に、Socket Web ロールで PyPI アプリケーションをサポートすることで、主要な一歩を踏み出しました。 例として、 のページを見てください。
- pip-compile
- setup-tools 特定の情報 (
- setup.cfg)
Socket は、Python の依存関係をコマンドするための最もきちんとしたシステムのために強力な改善を行いました。 ピップ
- 必需品 情報 (例:
necessities.txt)setup.py
, PEP 517、PEP 621 および PEP 660)チェックリストに Python を追加すると サポートされている言語とエコシステム, あなたはおそらく問題なく監査、手配、および本物であろう. Socket を使用した Python アプリケーション。 また、デモ リポジトリで Socket がサポートするいくつかの Python 依存関係構成のデモもご覧いただけます: SocketDemo/avatar_diffusion (そして、あなたがそれをしている間に、Unswerving Diffusion 生成 AI を検証するために集まることができます!)
ビルダーと安全グループは Socket
建設業者や安全団体は常に私たちにうめき声を上げています どのようにプリンシパルを愛しているか Socket のプロアクティブな安全性、簡単なインストール方法、および完全なオープン ソース保護。 また、Python の改善が追加されたことで、ビルダーに参加する準備が整い、安全グループが協力して、組織内で OSS を適切に使用および保留するようになりました。
実際の 2 分間ですべての Python リポジトリを保護します – もう冗談ではありませんソケットの気に入っている部分は、すぐに簡単にインストールできることです。 Socket の GitHub App も 2 分以内に配置される可能性があり、即時の保護と推奨の平和を提供します.
そして、ソケットに配置された後、実行可能な安全上のリスクについてPythonアプリケーションを定期的に監視し、依存関係の調整をリアルタイムで監視することにより、侵害または乗っ取られたアプリケーションがオファーチェーンに侵入するのを防ぎます。 .
プロアクティブな保護Socket では、プロアクティブにオファーを検出して対処することで判断します。ダメージを与える前に攻撃を連鎖させます。 Python の改善を追加することで、このレベルの保護をより多くの主要な組織やグループに提供したいと考えています。 の偶然の場所requests5 のスペース) リクエスト – 忙しい開発者が簡単に作成できるタイプミス:
この予備的な Python オープンでは、最も全体的なオファー チェーン攻撃の検出を改善します。 – タイポスクワッティング。 サポートされているPythonの問題のチェックリストを細かく分割して、肉厚を具現化することを考えています今後数週間から数か月で npm のために改善する 70 以上の問題.
ソースの安全性を起動する脆弱性よりも高いほとんどの「脆弱性スキャン」ツールは、脆弱性が報告されている場合に、使用しているアプリケーションをピアリングするだけです公共の CVE データベースに対して、ノイズが多く、不適切なポジティブがいっぱいの方法です。
Socket はまったく新しい方法を取ります。 ソケットは「機器の詳細な検査」を使用して、依存関係の層をサポートし、その真の行為を象徴します。 これにより、オファー チェーン攻撃のように見える攻撃を攻撃前に検出してブロックし、最悪の結果を軽減することができます。無意味な指標の山。 デフォルトでは、Socket は最も深刻な安全上の問題 (実行可能なオファー チェーン攻撃、既知のマルウェア、タイポスクワット、および多様化した同様に極端な問題) のみを示します
このモデルは、おそらく注目の的となるでしょう。最も重要なこと – 巨大なアプリケーションの構築 – 一方、ソケットは問題の安全面を処理します.
何百万ものオープンソース アプリケーションを取得して概観するnumpyと リクエスト。
ソケットの気に入っている部分は、すぐに簡単にインストールできることです。 Socket の GitHub App も 2 分以内に配置される可能性があり、即時の保護と推奨の平和を提供します.
そして、ソケットに配置された後、実行可能な安全上のリスクについてPythonアプリケーションを定期的に監視し、依存関係の調整をリアルタイムで監視することにより、侵害または乗っ取られたアプリケーションがオファーチェーンに侵入するのを防ぎます。 .
Socket では、プロアクティブにオファーを検出して対処することで判断します。ダメージを与える前に攻撃を連鎖させます。 Python の改善を追加することで、このレベルの保護をより多くの主要な組織やグループに提供したいと考えています。 の偶然の場所requests5 のスペース) リクエスト – 忙しい開発者が簡単に作成できるタイプミス:
この予備的な Python オープンでは、最も全体的なオファー チェーン攻撃の検出を改善します。 – タイポスクワッティング。 サポートされているPythonの問題のチェックリストを細かく分割して、肉厚を具現化することを考えています今後数週間から数か月で npm のために改善する 70 以上の問題.
- ソースの安全性を起動する脆弱性よりも高い
ほとんどの「脆弱性スキャン」ツールは、脆弱性が報告されている場合に、使用しているアプリケーションをピアリングするだけです公共の CVE データベースに対して、ノイズが多く、不適切なポジティブがいっぱいの方法です。
Socket はまったく新しい方法を取ります。 ソケットは「機器の詳細な検査」を使用して、依存関係の層をサポートし、その真の行為を象徴します。 これにより、オファー チェーン攻撃のように見える攻撃を攻撃前に検出してブロックし、最悪の結果を軽減することができます。無意味な指標の山。 デフォルトでは、Socket は最も深刻な安全上の問題 (実行可能なオファー チェーン攻撃、既知のマルウェア、タイポスクワット、および多様化した同様に極端な問題) のみを示します
このモデルは、おそらく注目の的となるでしょう。最も重要なこと – 巨大なアプリケーションの構築 – 一方、ソケットは問題の安全面を処理します.
- 何百万ものオープンソース アプリケーションを取得して概観する
numpyと リクエスト。
安全グループの可視性それにもかかわらず、Socket は今後の安全リスクとの戦いについて実際にはもはや現実的ではありません。 私たちもオファーを所有しています ミッション ウェルビーイング ファイル は、今日のリポジトリで明らかになったオープン ソースの安全性の問題を可視化します。 このモデルでは、ギフトの問題をさかのぼって修復し、オープンソースへの依存関係が想像できる限り本物であると判断する可能性があります.
Socket ロードマップ – 全体的にさらに改善!
Socket では、オープン ソース アプリケーションを各人にとって本物にすることに専念しています。 だからこそ、私たちは常に能力を向上させ、マークスパンキングの新鮮なエコシステムを改善しています. この現在の Python の改善のオープンにより、私たちはその目標に向かって別の一歩を踏み出しています。 たまたま見たことがない場合でも、最近リリースされたばかりのものを省略しないでください ソケットVSコード拡張, ミッションウェルビーイングレポート, npm とアカウントの改善を改善 、 グループ ダッシュボード 、および SOC 2 フォーム 2 コンプライアンス.
最後に、Python の改善を強化したい割り当てのいくつかの場所をミュートします。決定されたより少ない顧客のセットアップの場合:
pip JSON ロックファイルの改善 (pipfile.lock ) – 怖がらないで 出力は動作します!hatch 設備管理者特定info (hatch.toml)
セットアップで上記のいずれかを使用し、早期にエントリーを集めたい場合は、 アジェンダ デモ と私たちの担当者は、Socket があなたの本物の Python セットアップで動作するかどうかを判断します.
今すぐ Socket をセットアップしてください!
Python で Socket が改善されていることを確認するためにうなり声をあげると、おそらく GitHub App を 2 分もかからずにインストールできます.
それにもかかわらず、Socket は今後の安全リスクとの戦いについて実際にはもはや現実的ではありません。 私たちもオファーを所有しています ミッション ウェルビーイング ファイル は、今日のリポジトリで明らかになったオープン ソースの安全性の問題を可視化します。 このモデルでは、ギフトの問題をさかのぼって修復し、オープンソースへの依存関係が想像できる限り本物であると判断する可能性があります.
Socket ロードマップ – 全体的にさらに改善!
Socket では、オープン ソース アプリケーションを各人にとって本物にすることに専念しています。 だからこそ、私たちは常に能力を向上させ、マークスパンキングの新鮮なエコシステムを改善しています. この現在の Python の改善のオープンにより、私たちはその目標に向かって別の一歩を踏み出しています。 たまたま見たことがない場合でも、最近リリースされたばかりのものを省略しないでください ソケットVSコード拡張, ミッションウェルビーイングレポート, npm とアカウントの改善を改善 、 グループ ダッシュボード 、および SOC 2 フォーム 2 コンプライアンス.
最後に、Python の改善を強化したい割り当てのいくつかの場所をミュートします。決定されたより少ない顧客のセットアップの場合:
- pip JSON ロックファイルの改善 (
pipfile.lock ) – 怖がらないで 出力は動作します!hatch 設備管理者特定info (hatch.toml)セットアップで上記のいずれかを使用し、早期にエントリーを集めたい場合は、 アジェンダ デモ と私たちの担当者は、Socket があなたの本物の Python セットアップで動作するかどうかを判断します.
今すぐ Socket をセットアップしてください!
Python で Socket が改善されていることを確認するためにうなり声をあげると、おそらく GitHub App を 2 分もかからずにインストールできます.
ご質問やフィードバックが必要な場合がありますので、お気軽に専任の改善およびエンジニアリング担当者までお問い合わせください。 あなたが私たちの職員の誰かと話すのをうなり声で言うと、おそらくあなたはおそらく アジェンダ デモ 技術知識のある方
本物のオープン ソース アプリケーションを差し控えてください。の。 より多くの言語が迅速に改善されるようにチューニングを終了し、次の言語に投票してください
![a[low:high:max] in Golang – まれなリデュース トリック](https://nasa.re/file/2023/03/9481-alowhighmax-in-golang-e381bee3828ce381aae383aae38387e383a5e383bce382b9-e38388e383aae38383e382af.png)
