Os mantenedores do registro Python Package Index (PyPI) anunciaram uma nova funcionalidade que permite aos desenvolvedores de pacotes arquivar um projeto como parte dos esforços para melhorar a segurança da cadeia de suprimentos.
"Os mantenedores agora podem arquivar um projeto para informar aos usuários que o projeto não deve receber mais atualizações", disse Facundo Tuesca, engenheiro sênior na Trail of Bits.
Ao fazer isso, a ideia é sinalizar claramente para os desenvolvedores que as bibliotecas Python não estão mais sendo ativamente mantidas e que nenhum futuro ajuste de segurança ou atualização de produto deve ser esperado.
Dito isso, projetos marcados como arquivados continuarão disponíveis no PyPI e os usuários podem continuar a instalá-los sem nenhum problema.
Em um post separado no blog detalhando a funcionalidade, Tuesca disse que os mantenedores estão considerando status adicionais controlados pelo mantenedor para comunicar melhor o status de um projeto aos consumidores downstream.
O PyPI também recomenda que os desenvolvedores de pacotes lancem uma versão final antes do arquivamento, atualizando a descrição do projeto para alertar os usuários e para incluir alternativas como substituição.
O desenvolvimento vem logo após o PyPI implementar a capacidade de colocar projetos em quarentena, permitindo que administradores marquem um projeto como potencialmente suspeito e impeçam sua instalação por outros usuários para prevenir mais danos.
Em novembro de 2024, administradores do PyPI colocaram em quarentena a biblioteca Python aiocpa após uma nova atualização ser encontrada com código malicioso projetado para exfiltrar chaves privadas via Telegram.
Desde agosto do ano passado, aproximadamente 140 projetos foram colocados em quarentena e posteriormente removidos do registro, com exceção de um.
"Ter essa etapa intermediária permite que os Administradores do PyPI criem mais segurança para os usuários finais, protegendo os usuários finais mais rapidamente ao remover um pacote suspeito da instalação, enquanto permite uma investigação mais aprofundada", disse Mike Fiedler, um dos Administradores do PyPI.
Como a remoção de um projeto do PyPI é uma ação destrutiva, criar um estado de quarentena permite restaurar um projeto se considerado um falso positivo, sem destruir nenhum histórico ou metadado do projeto.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...