| Python | CVE-2025-4517 | CVE-2025-4435 | CVE-2025-4330 | CVE-2025-4138 | CVE-2024-12718

Python壓縮檔模組tarfile存在重大資安弱點,恐導致檔案系統遭任意寫入

Python軟體基金會近期發布軟體更新,修補與tar檔案解壓縮過濾機制有關的資安漏洞,其中CVE-2025-4517最為嚴重,攻擊者有機會用來寫入任意檔案

2025-06-10

| PyPI | Python | 開源治理 | 套件託管 | 組織帳戶

PyPI推付費帳戶與治理新條款,開源社群憂平臺營運轉向

PyPI將於3月27日實施新版服務條款,推付費組織帳戶並強化管理權,引發社群對治理透明度與開源原則爭議

2025-03-11

| Tiobe | Python | Java | C++

Python蟬聯TIOBE年度語言,穩居程式語言龍頭地位

Python獲選TIOBE 2024年度程式語言,評分大幅上升9.32%穩居榜首,C語言則持續下滑,C++與Java競爭激烈爭奪第2名的寶座

2025-01-08

| Fortinet | Python | 惡意套件

Python惡意套件Zebo與Cometlogger被用於供應鏈攻擊竊取憑證

兩款新發現的Python惡意套件Zebo與Cometlogger,看起來僅是一般開源程式,但是內含鍵盤記錄、資料外洩與反虛擬機器檢測等功能,威脅開發者與企業資料安全

2024-12-24

| AWS | Lambda | Python | .NET

AWS Lambda SnapStart支援Python、.NET,函式啟動時間低於1秒

除了Java,AWS Lambda SnapStart現在擴展支援Python、.NET,透過快取執行環境快照,大幅縮短啟動時間至低於1秒,特別適用於即時分析、API呼叫與機器學習應用場景

2024-11-20

| Python | PyPI | PEP 740 | 軟體供應鏈

PyPI導入數位見證以強化安全防護,Python供應鏈信任機制再升級

PyPI數位認證讓套件維護者在發布Python套件時,加入經過身分驗證的數位簽章,徹底提升供應鏈安全與追溯性,替代傳統PGP簽章機制

2024-11-15

| OCTOVERSE | Python | JavaScript | 印度 | 巴西

Python取代JavaScript成為GitHub上最受歡迎的語言

GitHub公布年度調查報告,指出Python已經取代JavaScript成為該平臺上最受歡迎的程式語言,同時估計印度將在2028年超越美國,成為GitHub上最大的開發者社群

2024-11-04

| 開源套件 | 命令列工具 | Python

開源套件進入點可被攻擊者用於指令劫持

攻擊者可濫用開源套件進入點功能,偽裝成常用開發工具,木馬化命令列工具隱蔽地執行惡意程式碼,攻擊開發環境與企業基礎設施

2024-10-16

| Python | GC | 記憶體管理

增量垃圾回收效能問題待解,Python 3.13正式版暫不加入

由於效能因素,Python 3.13暫時不加入原訂新增的增量垃圾回收(Incremental GC)功能,並維持原有設定以維持版本穩定性,待改進並收集更多回饋後於Python 3.14回歸

2024-10-07

| 微軟 | VS Code | Python

VS Code 1.94強化Python測試覆蓋率,還遷移至ES模組提升啟動效能

VS Code 1.94提升搜尋彈性,首次引入內建的Python測試覆蓋率功能,並遷移使用ECMAScript模組,改進啟動效能和開發流程

2024-10-05

| 北韓駭客 | PyPI | Python | AppleJeus | Gleaming Pisces | Citrine Sleet

北韓駭客Citrine Sleet上傳惡意Python套件,意圖散布RAT木馬PondRAT

研究人員提出警告,北韓駭客企圖利用惡意PyPI套件對開發人員散布木馬程式PondRAT,目的是透過開發者的電腦入侵軟體公司,從事供應鏈攻擊

2024-09-24

| VS Code | Python | Django | 單元測試

VS Code Python擴充套件更新,新增Django單元測試功能

微軟更新VS Code Python擴充套件,新增Django單元測試支援和Pylance最佳化,強化測試管理與程式導覽功能,提升Python開發體驗

2024-09-10