El índice Python Package (PYPI) ha anunciado la introducción de “Archival de proyectos”, un nuevo sistema que permite a los editores archivar sus proyectos, indicando a los usuarios que no se espera ninguna actualización.
Los proyectos siempre se acomodarán en PYPI, y los usuarios siempre podrán descargarlos, pero verán una advertencia sobre el estado de mantenimiento, para ayudarlos a tomar decisiones informadas sobre sus dependencias.
EL nueva característica Busca mejorar la seguridad de la cadena de suministro, ya que las cuentas de los desarrolladores de desvío y empujar actualizaciones maliciosas a proyectos ampliamente utilizados pero abandonados es un escenario común en el espacio de código abierto.
Además de reducir el riesgo para los usuarios, también reduce las solicitudes de soporte del usuario al garantizar una comunicación clara del ciclo del proyecto del proyecto.
Fuente: Pypi
Cómo el archivo de proyectos
Según una ventaja Blog de TrailOfbits detalladoDesarrollador del nuevo sistema PYPI Project Archives, la funcionalidad proporciona un estado controlado por el mantenimiento que permite a los propietarios de proyectos marcar sus proyectos como archivados, señalar a los usuarios que no habrá otras apuestas actualizadas, correcciones o mantenimiento.
El PYPI recomienda que los mantenedores publiquen una versión final antes de archivar un proyecto para incluir detalles y explicaciones sobre el motivo del archivo de un proyecto, aunque no es obligatorio.
Los funcionarios pueden desarchizar su proyecto en cualquier momento en el futuro si eligen recuperar el trabajo en él.
Bajo el capó, el nuevo sistema utiliza un modelo Lifecycletatus, desarrollado originalmente para la cuarentena del proyecto, que incluye una máquina de estado que permite transiciones entre diferentes estatutos.
Una vez que el propietario del proyecto hace clic en la opción “Archivo del proyecto” en la página de configuración de PYPI, la plataforma actualiza sus metadatos automáticamente para reflejar el nuevo estado.
TrailOfBits dice que está previsto agregar más estatutos de proyectos como “depreciado”, “complejo completado” y “no cumplido”, lo que brinda a los usuarios una idea más clara del estado del proyecto.
Fuente: Pypi
Se supone que el banner de advertencia informa a los desarrolladores que deben buscar dependencias alternativas mantenidas activamente en lugar de continuar dependiendo de proyectos obsoletos y potencialmente inseguros.
Aparte de eso, a menudo es el caso que los atacantes apunten a paquetes abandonados, tomando el control de proyectos desafortunados e inyectando código malicioso a través de una actualización que podría ocurrir varios años después del último.
En otros casos, los funcionarios eligen eliminar sus proyectos cuando planean detener el desarrollo, lo que conduce a escenarios como los ataques de “secuestro de avivamiento”. Dar a estos mantenedores una opción de archivo es mucho mejor desde el punto de vista de la seguridad.
Al final, debido a la naturaleza del código abierto, muchos proyectos se abandonan sin previo aviso, lo que deja a los usuarios adivinar si todavía se mantienen.
El nuevo sistema debería mejorar la transparencia del mantenimiento del proyecto de código abierto, eliminando conjeturas y proporcionando una señal explícita en el estado de un proyecto.