Los mantenedores del Registro del Índice de paquetes de Python (PYPI) han anunciado una nueva característica que permite a los desarrolladores de paquetes encarpetar un esquema como parte de los esfuerzos para mejorar la seguridad de la sujeción de suministro.
“Los mantenedores ahora pueden encarpetar un esquema para que los usuarios sepan que no se dilación que el esquema reciba más actualizaciones”, dijo Facundo Martes, ingeniero senior en Trail of Bits.
Al hacerlo, la idea es señalar claramente a los desarrolladores que las bibliotecas de Python ya no se mantienen activamente y que no se esperan correcciones de seguridad futuras o actualizaciones de productos.
Dicho esto, los proyectos etiquetados como Archived continuarán permaneciendo disponibles en PYPI y los usuarios pueden continuar instalándolo sin ningún problema.
En una publicación de blog separada que detalla la función, MARTA dijo que los mantenedores están considerando estados adicionales controlados por el mantenedor para comunicar mejor el estado de un esquema a los consumidores aguas debajo.
PYPI además recomienda que los desarrolladores de paquetes publiquen una lectura final ayer del archivo actualizando la descripción del esquema para advertir a los usuarios e incluir alternativas como reemplazo.
El ampliación se produce poco a posteriori de que PYPI implementó la capacidad de poner en cuarentena los proyectos, lo que permite a los administradores marcar un esquema como potencialmente sospechoso y evitar que otros usuarios lo instalen para evitar más daños.
En noviembre de 2024, los administradores de PYPI en cuarentena en cuarentena la Biblioteca Python AIOCPA a posteriori de que se encontró que una nueva aggiornamento incluye un código pillo diseñado para exfiltrado las claves privadas a través de Telegram.
Desde agosto del año pasado, aproximadamente 140 proyectos han sido en cuarentena y seguidamente eliminados del registro que fuera de uno.
“Tener esta etapa intermedia permite a los administradores de PYPI crear más seguridad para los usuarios finales, protegiendo a los usuarios finales más rápido por los administradores de PYPI que eliminan un paquete sospechoso de ser instalado, al tiempo que permite una anciano investigación”, dijo el administrador de Pypi Mike Fiedler.
“Entregado que la matanza del esquema de PYPI es una argumento destructiva, crear un estado de cuarentena permite restaurar un esquema si se considera un mensaje fingido positivo sin destruir nadie de los metadatos del esquema”.
