PyPI Anuncia con Éxito su Primera Auditoría de Seguridad Externa

Un Resumen en Español del Informe Original

José Arnulfo R. H.
2 min readNov 20, 2023

Nos complace anunciar que PyPI ha completado su primera auditoría de seguridad externa. Esta labor fue financiada en colaboración con el Open Technology Fund (OTF).

https://en.wikipedia.org/wiki/Python_Package_Index#/media/File:PyPI_logo.svg

El Open Technology Fund seleccionó a Trail of Bits, una firma líder en ciberseguridad con amplia experiencia en código abierto y Python, para realizar la auditoría. Trail of Bits dedicó un total de 10 semanas de trabajo de ingeniería para identificar problemas, presentar esos hallazgos al equipo de PyPI y ayudarnos a remediar los hallazgos.

La auditoría se centró en “Warehouse”, la base de código de código abierto que alimenta https://pypi.org, y en “cabotage”, el marco de orquestación de contenedores de código abierto personalizado que usamos para implementar Warehouse. Incluyó la revisión del código de ambas bases de código, priorizando áreas que aceptan la entrada del usuario, proporcionan API y otras superficies públicas. La auditoría también cubrió las configuraciones de integración continua / implementación continua (CI/CD) para ambas bases de código.

Los auditores determinaron que el código de Warehouse “estaba adecuadamente probado y cumplía con las mejores prácticas ampliamente aceptadas para el desarrollo seguro en Python y web”. Aunque el código de cabotage carecía del mismo nivel de pruebas, no se identificaron problemas de alta gravedad en ninguno de los dos códigos.

Como resultado de la auditoría, Trail of Bits detalló 29 advertencias diferentes en ambos códigos. Evaluando la gravedad, 14 se categorizaron como “informativas”, 6 como “bajas”, 8 como “medianas” y ninguna como “alta”. El equipo de PyPI ha remediado todas las advertencias significativas en ambos códigos, trabajando con equipos externos cuando fue necesario.

En aras de la transparencia, se han publicado los resultados completos de la auditoría preparados por Trail of Bits.

Además, en dos publicaciones de blog adicionales publicadas hoy, Mike Fiedler (Ingeniero de Seguridad y Seguridad de PyPI) detalla cómo remediaron estos hallazgos en Warehouse y Ee Durbin (Director de Infraestructura de la Fundación de Software Python) detalla de manera similar las remediaciones en cabotage.

Nos gustaría agradecer al Open Technology Fund por su continuo apoyo a PyPI y específicamente por este importante hito de seguridad para el ecosistema Python. También nos gustaría agradecer a Trail of Bits por ser un socio confiable, minucioso y reflexivo durante todo el proceso.

--

--