Python está en todas partes en el software flamante. Desde modelos de educación obligatorio hasta microservicios de producción, es probable que su código, y su negocio, dependa en los paquetes de Python que no escribió.
Pero en 2025, esa confianza conlleva un aventura circunspecto.
Cada pocas semanas, estamos viendo nuevos titulares sobre paquetes maliciosos subidos al Índice de paquetes de Python (PYPI), muchos no se detectaron hasta a posteriori de tener causado un daño positivo. ¿Uno de los ejemplos recientes más peligrosos? En diciembre de 2024, los atacantes comprometieron silenciosamente el paquete Ultralytics Yolo, ampliamente utilizado en aplicaciones de visión por computadora. Fue descargado miles de veces antiguamente de que cierto se diera cuenta.
Este no fue un evento marginado. Esta es la nueva normalidad.
Los ataques de la sujeción de suministro de Python están aumentando rápidamente, y su próxima instalación de PIP podría ser el enlace más débil. Únase a nuestro seminario web para conocer lo que verdaderamente está sucediendo, qué vendrá a posteriori y cómo fijar su código con confianza. No esperes una violación. Mira este seminario web ahora y toma el control.
¿Qué está pasando verdaderamente?
Los atacantes están explotando enlaces débiles en la sujeción de suministro de código hendido. Están usando trucos como:
- Error tipográfico: Cargue paquetes falsos con nombres como Requests o Urlib.
- Repojacking: Secuestro de repos de Github abandonados una vez vinculados a paquetes de confianza.
- Slop-squatting: Publicando ortográficos populares antiguamente Un mantenedor permitido los reclama.
Una vez que un desarrollador instala uno de estos paquetes, intencionalmente o no, se acabó.
Y no son solo paquetes deshonestos. Incluso la imagen oficial del contenedor de Python se envía con vulnerabilidades críticas. Al momento de escribir, hay más de 100 CVE altos y críticos en la imagen almohadilla tipificado de Python. Arreglarlos siquiera es dócil. Ese es el problema de “mi caudillo me dijo que solucionara a Ubuntu”, cuando su equipo de aplicaciones hereda los problemas de infra que nadie quiere tener.
Es hora de tratar la seguridad de la sujeción de suministro de Python como un problema de primera clase
El enfoque tradicional, “solo pip instale y sigue delante”, ya no lo cortó. Ya sea que sea un desarrollador, un ingeniero de seguridad o que ejecute sistemas de producción, necesita visibilidad y control sobre lo que está atrayendo.
Y aquí están las buenas noticiario: puede fijar su entorno de Python sin romper su flujo de trabajo. Solo necesitas las herramientas adecuadas y un ejemplar de jugadas claro.
Ahí es donde entra este seminario web.
En esta sesión, caminaremos:
- La cuerpo de los ataques modernos de la sujeción de suministro de Python: Lo que sucedió en los recientes incidentes de PYPI, y por qué siguen sucediendo.
- Lo que puedes hacer hoy: Desde PIP Instale la higiene hasta el uso de herramientas como Pip-Audit, Sigstore y SBOMS.
- Detrás de imagen: Sigstore y SLSA: Cómo los marcos modernos de firma y procedencia están cambiando la forma en que confiamos en el código.
- Cómo está respondiendo Pypi: Los últimos cambios en todo el ecosistema y lo que significan para los consumidores de paquetes.
- Zero-Trust para su pitón de pitón: Uso de contenedores de Chainguard y bibliotecas de Chainguard para destinar código seguro y sin CVE fuera de la caja.
Las amenazas se están volviendo más inteligentes. Las herramientas están mejorando. Pero la mayoría de los equipos están atrapados en algún motivo en el medio, en relación con las imágenes predeterminadas, sin empuje y con la esperanza de que sus dependencias no las traicionen.
No tiene que convertirse en un versado en seguridad durante la tinieblas, pero necesita una hoja de ruta. Ya sea que esté temprano en su alucinación o ya realice auditorías y firmaciones, esta sesión lo ayudará a arrostrar su sujeción de suministro de Python al futuro nivel.
Mira este seminario web ahora
Su aplicación es tan segura como la importación más débil. Es hora de dejar de encargar a ciegas y comenzar a corroborar. Únete a nosotros. Hacerse práctico. Asegúrate.
