Python Paket Endeksi (PYPI) kayıt defterinin bakıcıları, paket geliştiricilerin tedarik zinciri güvenliğini artırma çabalarının bir parçası olarak bir proje arşivlemesine izin veren yeni bir özellik duyurdu.
Trail of Bits kıdemli mühendisi Facundo Salı, “Bakımcılar artık kullanıcıların projenin daha fazla güncelleme alması beklenmediğini bildirecek bir proje arşivleyebilir.” Dedi.
Bunu yaparken, geliştiricilere Python kütüphanelerinin artık aktif olarak korunmadığını ve gelecekteki güvenlik düzeltmelerinin veya ürün güncellemelerinin beklenmediğini açıkça belirtmektir.
Bununla birlikte, arşivlenmiş olarak etiketlenen projeler PYPI’da mevcut kalmaya devam edecek ve kullanıcılar herhangi bir sorun olmadan yüklemeye devam edebilir.
Özelliği detaylandıran ayrı bir blog yayınında Salı, bakımcıların bir projenin durumunu aşağı akış tüketicilerine daha iyi iletmek için ek bakım kontrollü durumları düşündüklerini söyledi.
PYPI ayrıca, paket geliştiricilerinin, kullanıcıları uyarmak için proje açıklamasını güncelleyerek ve alternatifleri değiştirme olarak dahil ederek arşivden önce son bir sürüm yayınlamasını önerir.
Geliştirme, Pypi’nin projeleri karantina yapma yeteneğini ortaya çıkardıktan kısa bir süre sonra, yöneticilerin bir projeyi potansiyel olarak şüpheli olarak işaretlemesine ve daha fazla zararı önlemek için diğer kullanıcılar tarafından kurulmasını engellemelerine izin veriyor.
Kasım 2024’te PYPI yöneticileri, yeni bir güncellemenin Telegram aracılığıyla özel anahtarları eklemek için tasarlanmış kötü amaçlı kodları içerdiği bulunduktan sonra Python Kütüphanesi AIOCPA’yı karantinaya aldı.
Geçen yılın Ağustos ayından bu yana, yaklaşık 140 proje karantinaya alındı ve daha sonra kayıt defterinden bir projeden çıkarıldı.
Pypi yöneticisi Mike Fiedler, “Bu aracı aşamaya sahip olmak, PYPI yöneticilerinin son kullanıcılar için daha fazla güvenlik yaratmasını sağlıyor, son kullanıcıları PYPI yöneticilerinden daha hızlı koruyarak, şüpheli bir paketin yüklenmesini kaldırarak daha fazla araştırmaya izin verirken.” Dedi.
Diyerek şöyle devam etti: “PYPI’dan proje kaldırılması yıkıcı bir eylem olduğundan, karantina devleti oluşturmak, projenin geçmişini veya meta verilerini yok etmeden yanlış bir pozitif rapor olarak kabul edilirse bir projenin geri yüklenmesine izin verir.”