PyPiとは【用語集詳細】
PyPiは、正式名称をPython Package Indexといい、プログラミング言語Python用のソフトウェア・リポジトリです。
Pythonを利用する開発者向けに、ソフトウェアの検索・インストール、コミュニティを提供しています。PyPiの運営はPythonソフトウェア財団が行っています。
PyPiでは、ソフトウェアの開発に必要なパッケージ(ソースコードファイル群)をダウンロードし、活用することができます。
2022年12月時点で、43万件を超えるプロジェクトが公開されています。
PyPiはソフトウェア開発者に重用されていることから、サプライチェーン攻撃に悪用される例が増加しています。
正当なパッケージを装った悪性パッケージや、マルウェアを潜伏させたパッケージ、紛らわしい名称でダウンロードを促す不正なパッケージが多数確認されており、ソフトウェア・サプライチェーンに対する脅威となっています。
攻撃者がアップロードした悪意あるパッケージをソフトウェア開発に利用した場合、そのソフトウェアを通じて攻撃者にアクセスされたり、情報を窃取されたりといった被害が発生します。
2023年1月の報道では、機械学習(ML)用フレームワークであるPyTorchのナイトリ―ビルド(最新のソースコードによるバージョン)パッケージが侵害され、情報窃取機能を持つ悪意あるプログラムが挿入されました。
また、悪性パッケージ登録キャンペーンに対応するために、PyPi運営チームは一時的なプロジェクトアップロード・ユーザー登録停止措置をとるなどの対策を講じています。
