Python Paket Endeksi (PYPI) kayıt defterinin bakıcıları, paket geliştiricilerin tedarik zinciri güvenliğini artırma çabalarının bir parçası olarak bir proje arşivlemesine izin veren yeni bir özellik duyurdu.
“Bakımcılar artık kullanıcıların projenin daha fazla güncelleme alması beklenmediğini bildirmek için bir proje arşivleyebilir,” söz konusu.
Bunu yaparken, geliştiricilere Python kütüphanelerinin artık aktif olarak korunmadığını ve gelecekteki güvenlik düzeltmelerinin veya ürün güncellemelerinin beklenmediğini açıkça belirtmektir.
Bununla birlikte, arşivlenmiş olarak etiketlenen projeler PYPI’da mevcut kalmaya devam edecek ve kullanıcılar herhangi bir sorun olmadan yüklemeye devam edebilir.
Özelliği detaylandıran ayrı bir blog gönderisinde, Salı söz konusu Bakımcılar, bir projenin durumunu aşağı akış tüketicilerine daha iyi iletmek için ek bakımcı kontrollü durumları düşünüyor.
PYPI ayrıca, paket geliştiricilerinin, kullanıcıları uyarmak için proje açıklamasını güncelleyerek ve alternatifleri değiştirme olarak dahil ederek arşivden önce son bir sürüm yayınlamasını önerir.
Geliştirme, Pypi’nin yeteneğini ortaya çıkardıktan kısa bir süre sonra gelir. Karantina Projeleriyöneticilerin bir projeyi potansiyel olarak şüpheli olarak işaretlemesine ve daha fazla zararı önlemek için diğer kullanıcılar tarafından kurulmasını engellemesine izin vermek.
Kasım 2024’te PYPI yöneticileri, yeni bir güncellemenin Telegram aracılığıyla özel anahtarları eklemek için tasarlanmış kötü amaçlı kodları içerdiği bulunduktan sonra Python Kütüphanesi AIOCPA’yı karantinaya aldı.
Geçen yılın Ağustos ayından bu yana, yaklaşık 140 proje karantinaya alındı ve daha sonra kayıt defterinden bir projeden çıkarıldı.
Pypi yöneticisi Mike Fiedler, “Bu aracı aşamaya sahip olmak, PYPI yöneticilerinin son kullanıcılar için daha fazla güvenlik yaratmasını sağlar, son kullanıcıları PYPI yöneticilerinden daha hızlı koruyarak, daha fazla araştırmaya izin verirken şüpheli bir paketin yüklenmesini kaldırır.” söz konusu.
Diyerek şöyle devam etti: “PYPI’dan proje kaldırılması yıkıcı bir eylem olduğundan, karantina devleti oluşturmak, projenin geçmişini veya meta verilerini yok etmeden yanlış bir pozitif rapor olarak kabul edilirse bir projenin geri yüklenmesine izin verir.”
