Los mantenedores del Registro del Índice de paquetes de Python (PYPI) han anunciado una nueva característica que permite a los desarrolladores de paquetes archivar un proyecto como parte de los esfuerzos para mejorar la seguridad de la cadena de suministro.
«Los mantenedores ahora pueden archivar un proyecto para que los usuarios sepan que no se espera que el proyecto reciba más actualizaciones», dijo Facundo Martes, ingeniero senior en Trail of Bits.
Al hacerlo, la idea es señalar claramente a los desarrolladores que las bibliotecas de Python ya no se mantienen activamente y que no se esperan correcciones de seguridad futuras o actualizaciones de productos.
Dicho esto, los proyectos etiquetados como Archived continuarán permaneciendo disponibles en PYPI y los usuarios pueden continuar instalándolo sin ningún problema.
En una publicación de blog separada que detalla la función, MARTA dijo que los mantenedores están considerando estados adicionales controlados por el mantenedor para comunicar mejor el estado de un proyecto a los consumidores aguas abajo.
PYPI también recomienda que los desarrolladores de paquetes publiquen una versión final antes del archivo actualizando la descripción del proyecto para advertir a los usuarios e incluir alternativas como reemplazo.
El desarrollo se produce poco después de que PYPI lanzó la capacidad de poner en cuarentena proyectos, lo que permite a los administradores marcar un proyecto como potencialmente sospechoso y evitar que otros usuarios instalen que eviten más daños.
En noviembre de 2024, los administradores de PYPI en cuarentena en cuarentena la Biblioteca Python AIOCPA después de que se encontró que una nueva actualización incluye un código malicioso diseñado para exfiltrado las claves privadas a través de Telegram.
Desde agosto del año pasado, aproximadamente 140 proyectos han sido en cuarentena y posteriormente eliminados del registro que salvo uno.
«Tener esta etapa intermedia permite a los administradores de PYPI crear más seguridad para los usuarios finales, protegiendo a los usuarios finales más rápido por los administradores de PYPI que eliminan un paquete sospechoso de ser instalado, al tiempo que permite una mayor investigación», dijo el administrador de Pypi Mike Fiedler.
«Dado que la eliminación del proyecto de PYPI es una acción destructiva, crear un estado de cuarentena permite restaurar un proyecto si se considera un informe falso positivo sin destruir ninguno de los metadatos del proyecto».