Το Python Package Index (PyPI) παρουσίασε το νέο σύστημα «Project Archival», που δίνει τη δυνατότητα στους εκδότες να αρχειοθετούν τα έργα τους. Με αυτόν τον τρόπο, οι χρήστες ενημερώνονται όταν δεν προβλέπονται μελλοντικές ενημερώσεις για τα συγκεκριμένα έργα.
Δείτε επίσης: Κακόβουλα πακέτα PyPI αντιγράφουν AI μοντέλα για κλοπή δεδομένων

Τα έργα θα συνεχίσουν να φιλοξενούνται στο PyPI, επιτρέποντας στους χρήστες να τα κατεβάζουν όπως πριν. Ωστόσο, θα εμφανίζεται μια προειδοποίηση σχετικά με την κατάσταση συντήρησής τους, παρέχοντας ουσιαστική πληροφόρηση που θα τους βοηθά να λαμβάνουν πιο ενημερωμένες και συνειδητές αποφάσεις για τις εξαρτήσεις τους.
Η νέα δυνατότητα στοχεύει στην ενίσχυση της ασφάλειας της εφοδιαστικής αλυσίδας λογισμικού. Οι παραβιάσεις λογαριασμών προγραμματιστών και η διανομή κακόβουλων ενημερώσεων σε δημοφιλή αλλά εγκαταλελειμμένα έργα αποτελούν μια συχνή απειλή στον κόσμο του ανοιχτού κώδικα. Εκτός από τη μείωση του κινδύνου για τους χρήστες, μειώνει επίσης τα αιτήματα υποστήριξης από τους χρήστες διασφαλίζοντας σαφή επικοινωνία για την κατάσταση του κύκλου ζωής του έργου.
Σύμφωνα με ένα αναλυτικό ιστολόγιο από την TrailofBits, δημιουργό του νέου συστήματος Project Archival της PyPI, η νέα λειτουργία δίνει στους συντηρητές τη δυνατότητα να επισημαίνουν τα έργα τους ως αρχειοθετημένα. Με αυτόν τον τρόπο, ενημερώνουν τους χρήστες ότι τα συγκεκριμένα έργα δεν πρόκειται να λάβουν περαιτέρω ενημερώσεις, διορθώσεις ή συντήρηση.
Το PyPI προτείνει στους συντηρητές να δημοσιεύουν μια τελική έκδοση πριν την αρχειοθέτηση ενός έργου. Αυτή η έκδοση μπορεί να περιλαμβάνει λεπτομέρειες και εξηγήσεις για τους λόγους που οδήγησαν στην απόφαση αρχειοθέτησης. Αν και αυτή η πρακτική δεν είναι υποχρεωτική, θεωρείται ιδιαίτερα χρήσιμη για την ενημέρωση των χρηστών.
Δείτε ακόμα: Κακόβουλα πακέτα PyPi που μιμούνται το ChatGPT, κλέβουν δεδομένα προγραμματιστών
Οι συντηρητές μπορούν να καταργήσουν την αρχειοθέτηση του έργου τους ανά πάσα στιγμή στο μέλλον, εάν επιλέξουν να συνεχίσουν να εργάζονται σε αυτό.

Πώς λειτουργεί το Project Archival του PyPi
Κάτω από την επιφάνεια, το νέο σύστημα βασίζεται στο μοντέλο LifecycleStatus, το οποίο αρχικά σχεδιάστηκε για τη διαχείριση των έργων σε καραντίνα. Το μοντέλο αυτό ενσωματώνει έναν μηχανισμό κατάστασης, που διευκολύνει τη μετάβαση μεταξύ διαφόρων σταδίων με αποτελεσματικότητα και ακρίβεια. Μόλις ο κάτοχος του έργου κάνει κλικ στην επιλογή «Archive Project» στη σελίδα ρυθμίσεων PyPI, η πλατφόρμα ενημερώνει αυτόματα τα μεταδεδομένα της για να αντικατοπτρίζει τη νέα κατάσταση.
Η TrailofBits λέει ότι υπάρχουν σχέδια για την προσθήκη περισσότερων καταστάσεων έργου όπως “deprecated“, “feature-complete” και “unmaintained“, δίνοντας στους χρήστες μια πιο ξεκάθαρη ιδέα για την κατάσταση του έργου.
Το προειδοποιητικό banner έχει σκοπό να ενημερώσει τους προγραμματιστές ότι πρέπει να αναζητήσουν ενεργά διατηρούμενες εναλλακτικές εξαρτήσεις, αντί να συνεχίσουν να βασίζονται σε απαρχαιωμένα και δυνητικά ανασφαλή έργα.
Δείτε επίσης: Hackers στοχεύουν προγραμματιστές Python με ψεύτικο πακέτο “Crytic-Compilers” στο PyPI
Οι κακόβουλες ενημερώσεις αποτελούν μία από τις συχνότερες απειλές στον ψηφιακό κόσμο. Αυτές οι ενημερώσεις συχνά παρουσιάζονται ως νόμιμες αναβαθμίσεις λογισμικού, αλλά στην πραγματικότητα περιέχουν κακόβουλο κώδικα που μπορεί να θέσει σε κίνδυνο την ασφάλεια των συσκευών και των δεδομένων. Οι χρήστες θα πρέπει να είναι ιδιαίτερα προσεκτικοί στις πηγές των ενημερώσεων και να εξασφαλίζουν ότι προέρχονται αποκλειστικά από αξιόπιστες και επίσημες τοποθεσίες.
Πηγή: bleepingcomputer