
Registry Pemelihara dari Python Package Index (PYPI) telah mengumumkan fitur baru yang memungkinkan pengembang paket untuk mengarsipkan proyek sebagai bagian dari upaya untuk meningkatkan keamanan rantai pasokan.
“Pemelihara sekarang dapat mengarsipkan proyek untuk memberi tahu pengguna bahwa proyek ini tidak diharapkan menerima pembaruan lagi,” kata Facundo Tuesca, insinyur senior di Trail of Bits, mengatakan.
Dengan melakukan hal itu, idenya adalah memberi sinyal dengan jelas kepada pengembang bahwa perpustakaan Python tidak lagi dipertahankan secara aktif dan bahwa tidak ada perbaikan keamanan di masa depan atau pembaruan produk yang harus diharapkan.

Yang mengatakan, proyek -proyek yang diberi label sebagai pengarsipan akan terus tersedia di PYPI dan pengguna dapat terus menginstalnya tanpa masalah.
Dalam posting blog terpisah yang merinci fitur tersebut, Tuesca mengatakan para pengelola sedang mempertimbangkan status yang dikendalikan oleh pemeliharaan tambahan untuk mengomunikasikan status proyek dengan lebih baik kepada konsumen hilir.

PYPI juga merekomendasikan agar pengembang paket merilis versi final sebelum arsip dengan memperbarui deskripsi proyek untuk memperingatkan pengguna dan memasukkan alternatif sebagai pengganti.
Pengembangan datang tak lama setelah PYPI meluncurkan kemampuan untuk mengkarantina proyek, memungkinkan administrator untuk menandai proyek yang berpotensi mencurigakan dan mencegahnya dipasang oleh pengguna lain untuk mencegah kerusakan lebih lanjut.
Pada bulan November 2024, administrator PYPI mengarantinasikan Python Library AIOCPA setelah pembaruan baru ditemukan menyertakan kode berbahaya yang dirancang untuk mengekspam kunci pribadi melalui telegram.

Sejak Agustus tahun lalu, sekitar 140 proyek telah dikarantina dan kemudian dihapus dari registri yang melarang satu.
“Memiliki tahap perantara ini memungkinkan admin PYPI untuk menciptakan lebih banyak keamanan untuk pengguna akhir, melindungi pengguna akhir lebih cepat dengan admin PYPI menghapus paket yang mencurigakan agar tidak diinstal, sambil memungkinkan penyelidikan lebih lanjut,” kata admin PYPI Mike Fiedler.
“Karena penghapusan proyek dari PYPI adalah tindakan destruktif, menciptakan keadaan karantina memungkinkan untuk memulihkan proyek jika dianggap sebagai laporan positif palsu tanpa menghancurkan salah satu sejarah proyek atau metadata.”