В PyPI появилась опция карантина, с помощью которой можно временно закрывать заражённые проекты

В блоге The Python Package Index Blog рассказали о функции карантина, с помощью которой администраторы пакетного менеджера PyPI могут ограничивать возможность скачивания и установки проекта. Тестировать функцию начали в августе 2024 года. За это время в карантин попали 140 проектов.

Администратор PyPI Майк Фидлер (Mike Fiedler) рассказал, что вредоносное ПО — постоянная проблема всех пакетных менеджеров, включая PyPI. Дело в том, что пользователи могут публиковать любые программы, а на модерацию каждого проекта просто нет времени и достаточного числа сотрудников. К тому же вредонос может находиться только в конкретном файле целой библиотеки. А в инструментарии PyPI есть только функция полного удаления пакета.

Для решения этих проблем команда PyPI разработала карантин — специальную функцию, с помощью которой можно ограничить распространение вредоносного пакета, но не удалять его. В карантин проект могут поместить администраторы, а сообщить о проблемах с безопасностью — независимые исследователи и пользователи.

Если проект оказывается в карантине, то:

• пользователи не смогут найти его в списке проектов PyPI;

• автор проекта не сможет вносить изменения на странице проекта;

• состояние проекта будут видеть только администраторы, исследователи безопасности и автор;

• отменить карантин может только администратор;

• если автор игнорирует рекомендации, то администраторы могут удалить проект.

Если раньше администраторы сразу удаляли вредоносный проект, то сейчас они могут временно скрыть его и связаться с разработчиками. Если авторы примут меры и исправят ошибки, то пакет снова будет доступен пользователям. Тестировать функцию карантина начали в августе 2024 года. За это время в карантине побывали 140 проектов. Отмечается, что авторы проектов охотно сотрудничают с исследователями безопасности и исправляют ошибки в коде.

Сейчас команда PyPI хочет автоматизировать функцию карантина. Например, проекты будут попадать в карантин при достижении определённого количества отчётов от пользователей и исследователей. Разработчики пока решают, сколько отчётов требуется для принятия достоверного решения и кто сможет отправлять отчёты, чтобы не злоупотреблять карантином.